嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。
社會工程攻擊,是一種利用“社會工程學” (Social Engineering)來實施的網絡攻擊行為。比如免費下載的軟件中捆綁了流氓軟件、免費音樂中包含病毒、釣魚網站、垃圾電子郵件中包括間諜軟件等,都是近來社會工程學的代表應用。
Kali Linux系統集成了一款社會工程學工具包 Social Engineering Toolkit (SET),它是一個基於Python的開源的社會工程學滲透測試工具。這套工具包由David Kenned設計,而且已經成為業界部署實施社會工程學攻擊的標准。
SET利用人們的好奇心、信任、貪婪及一些愚蠢的錯誤,攻擊人們自身存在的弱點。SET最常用的攻擊方法有:用惡意附件對目標進行 E-mail 釣魚攻擊、Java Applet攻擊、基於瀏覽器的漏洞攻擊、收集網站認證信息、建立感染的便攜媒體、郵件群發等攻擊手段。
前提:
- 安裝了Kali Linux
- 擁有一個可以進行登錄的網站
獲取原理:此方法主要利用SET的Site Cloner進行網站克隆,感興趣的可以嘗試利用Custom Import
1,打開,SET(Social engineering toolkit)
2,輸入1 ,選擇菜單中的Social-Engineering Attacks (社會工程學攻擊) 會顯示社會工程攻擊的工具
3,輸入2,選擇Website Attack Vectors 網站(釣魚)攻擊向導 會列出所有的網站(釣魚)攻擊的方法供你選擇
4,輸入3,選擇Credential Harvester Attack Method(密碼收割機( ‵▽′)ψ )功能如其名一樣
5、輸入2,選擇Site Cloner,這時會提示 IP address for the POST back in Harvester/Tabnabbing[你的ip]:
6、如果用來測試只需要輸入你的ip就好,自己輸入。如果不是的話就按enter
7、輸入完后會提示你輸入需要克隆的頁面,自己輸入需要克隆的頁面。
8、克隆完成后會詢問是否開啟Apache服務,選擇開啟就可以通過瀏覽器訪問自己的ip看到克隆后的頁面了。
提示:克隆的頁面默認保存在/var/www/html/中,收割的密碼也在這個目錄下,默認為 harvester_date.txt
如果沒有克隆用的網站,可以利用步驟5中的 Web Templates,里面包含了現成的網站。
原理:克隆的頁面修改了表單中的action屬性,指向到了5、6設置的ip,並且將7中輸入的網站克隆並保存到/var/www/html中,並且當用戶輸入完帳號密碼后頁面會自動跳轉到真實網站中讓用戶難以察覺。