关于社会工程学工具集Social-Engineer Toolkit (SET,以下简称SET)这玩意的名字相信各位也是知道一二了。SET和它的好基友Metasploit之间的亲密配合更是完美无缺,但是SET在国内的应用却不多。我想应该是它全英文的界面阻碍广大人民群众对它的爱。

本着有事没事都参一脚的精神,这篇文章只是基础性的简介,并没有全面的去介绍其各种玩法。望各位原谅。(当然不是为了2FB而来的)

首先是给各位SET下载地址

git clone https://github.com/trustedsec/social-engineer-toolkit/set/

我虚拟机用的kali,SET在这个位置。BT里面同样有。不过现在SET的更新方法和Metasploit一样是用git了。所以旧版BT可能更新比较麻烦

当然我们在BT下也可来运行

root@bt:~# cd /pentest/exploits/set/ root@bt:/pentest/exploits/set# root@bt:/pentset/exploits/set#./set

运行界面如下,漂亮的界面

之后是选项环节

1、社会工程学攻击
2、快速追踪测试
3、第三方模块
4、升级软件
5、升级配置
6、帮助
99、退出

因为我们要看的是制作钓鱼网站,所以果断的选1

嗯,又是选项

1、鱼叉式网络钓鱼攻击
2、网页攻击
3、传染媒介式(俗称木马)
4、建立payloaad和listener
5、邮件群发攻击(夹杂木马啊payload的玩意发给你)
6、Arduino基础攻击
7、无线接入点攻击
8、二维码攻击(我喜欢)
9、Powershell攻击
10、第三反模块
99、返回上级

我们选择2,应为是钓鱼网站

依旧选项。。。。

1、java applet攻击(网页弹窗那种)
2、Metasploit 浏览器漏洞攻击
3、钓鱼网站攻击
4、标签钓鱼攻击
5、网站jacking攻击(这个真心不明白,好像也和java的攻击方式有些相同)
6、多种网站攻击方式
7、全屏幕攻击(不明所以的玩意,只能够对谷歌邮箱和脸书用)
99、返回上级

OK我们选择2

之后让你设置是使用1、网站模版,还是2、设置克隆网站,或是3、自己设计的网站

这个克隆网站的要求就是最好是静态页面而且有有POST返回的登录界面,现在的百度啊QQ啊163啊都对于克隆没用了,当然各位可以运用鬼斧神工的制作技巧做出网页来

为了继续,我就选择网络模版

这里是设置POST返回地址,写虚拟机的192.168.1.106

之后是选择网站模版,如果选择了克隆则提示输入要克隆的网址

我选择的是google的,之后一路确定,就会自动设置一切了

敲下回车后,会直接返回之前的选择界面,不过我们的钓鱼网站已经正式上线了。我们可以直接访问192.168.1.106看看

这就是我们的钓鱼网站,在我输入用户名Nekotest密码2333333后,可以看见转跳到了一个post.php

这个就是用于接受POST数据同时将页面转跳到正规页面的东西,之后我们访问硬盘的/var/www/目录,下面就是我们的钓鱼网站的全部

而那个harvester_xxx_XXXXXXX.txt就是记录的刚才我们输入的密码和用户名的东西了


以上就是SET的大概,其中的和Metasploit联用同样也是十分的厉害。可以说这两玩意在内网可以算得上是王者一样的工具了。

就在某咖啡,某餐馆,甚至自己制作移动无线冒充CMCC都是十分好的方法。

以上,望各位菊苣还请多多发挥自己的想象来运用。

*本文作者:喵呜君