社會工程學 social-engineer toolkit使用

一、介紹

社會工程師工具包（SET）全稱為Social-Engineer Toolkit，由TrustedSec的創始人創建和編寫。它是一個開源的Python驅動工具，旨在圍繞社交工程進行滲透測試，已經在包括Blackhat，DerbyCon，Defcon和ShmooCon在內的大型會議上提出過。它擁有超過200萬的下載量，旨在利用社會工程類型環境下的高級技術攻擊。TrustedSec認為，社會工程學是最難防范的攻擊方式之一，是現在最流行的攻擊方式之一。

二、安裝

github地址：https://github.com/trustedsec/social-engineer-toolkit

 

wget https://github.com/trustedsec/social-engineer-toolkit/archive/7.7.9.tar.gz
tar xf 7.7.9.tar.gz 
 cd social-engineer-toolkit-7.7.9/
 #啟動postgetrsql（依賴msf）
 service postgresql start
 #啟動
 ./setoolkit

　　

三、使用（google登錄）

#啟動
 ./setoolkit
 
 
 #主要選擇項
  Select from the menu:

   1) Social-Engineering Attacks #社會工程攻擊（釣魚網站等）
   2) Penetration Testing (Fast-Track)  #滲透測試（快速通道）
   3) Third Party Modules #第三方模塊
   4) Update the Social-Engineer Toolkit  #新升級set
   5) Update SET configuration #更新set的設置
   6) Help, Credits, and About #幫助菜單

  99) Exit the Social-Engineer Toolkit  #退出

set> 


  
  
 #1選項
    1) Spear-Phishing Attack Vectors #魚叉式網絡釣魚攻擊
   2) Website Attack Vectors   #網頁攻擊
   3) Infectious Media Generator #傳染媒介式(俗稱木馬)
   4) Create a Payload and Listener #建立payloaad和listener
   5) Mass Mailer Attack #郵件群發攻擊(夾雜木馬啊payload的玩意發給你)
   6) Arduino-Based Attack Vector #Arduino基礎攻擊
   7) Wireless Access Point Attack Vector  #無線接入點攻擊
   8) QRCode Generator Attack Vector #二維碼攻擊
   9) Powershell Attack Vectors #Powershell攻擊
  10) SMS Spoofing Attack Vector #短信欺騙
  11) Third Party Modules #第三反模塊

  99) Return back to the main menu. #返回上級
 
 #2、選擇web攻擊
    1) Java Applet Attack Method #java applet攻擊(網頁彈窗那種)
   2) Metasploit Browser Exploit Method #Metasploit 瀏覽器漏洞攻擊
   3) Credential Harvester Attack Method #釣魚網站攻擊
   4) Tabnabbing Attack Method #標簽釣魚攻擊
   5) Web Jacking Attack Method #網站jacking攻擊
   6) Multi-Attack Web Method #多種網站攻擊方式
   7) Full Screen Attack Method #全屏幕攻擊（只能夠對谷歌郵箱和臉書用）
   8) HTA Attack Method   #HTA攻擊
  99) Return to Main Menu #返回上級

 #再次選擇2
    
   1) Web Templates #網站模版
   2) Site Cloner #克隆網站 （這個克隆網站的要求就是最好是靜態頁面而且有有POST返回的登錄界面）
   3) Custom Import #自己設計的網站

  99) Return to Webattack Menu #返回上級
  #選擇1測試
  #選擇回車（或者輸入ip）
  set:webattack> IP address for the POST back in Harvester/Tabnabbing [10.0.0.132]:

--------------------------------------------------------
             **** Important Information ****

For templates, when a POST is initiated to harvest
credentials, you will need a site for it to redirect.

You can configure this option under:

      /etc/setoolkit/set.config

Edit this file, and change HARVESTER_REDIRECT and
HARVESTER_URL to the sites you want to redirect to
after it is posted. If you do not set these, then
it will not redirect properly. This only goes for
templates.

--------------------------------------------------------

  1. Java Required
  2. Google
  3. Twitter
#選擇2 Google
#一直回車
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:

　　

瀏覽器訪問

 

 

賬號密碼 

 

四、網站克隆（釣魚）

依次選擇
1
2
3
#出現
   1) Web Templates
   2) Site Cloner
   3) Custom Import

  99) Return to Webattack Menu

#選擇2（克隆）
set:webattack> IP address for the POST back in Harvester/Tabnabbing [10.0.0.132]: 
[-] SET supports both HTTP and HTTPS
[-] Example: http://www.thisisafakesite.com
set:webattack> Enter the url to clone:http://這里是克隆的網址（如http://www.baidu.com）  #有些網站克隆不了

　　

瀏覽器訪問