精华内容
下载资源
问答
  • 2020-07-31 14:53:37

    social-engineer toolkit

    输入setoolkit进入软件

    1)社会工程攻击

    2)快速跟踪渗透测试

    3)第三方模块

    4)更新社会工程工具包

    5)更新set设置

    6)帮助作者关于

    99)退出

    试一下社会工程攻击

    1) 鱼叉式网络钓鱼攻击载体

    2) 网站攻击载体

    3) 感染性介质发生器

    4) 创建有效负载和侦听器

    5) 群发邮件攻击

    6) 基于Arduino的攻击向量

    7) 无线接入点攻击向量

    8) QRCode生成器攻击向量

    9) Powershell攻击向量

    10) 第三方模块

    选择1

    1) 执行群发邮件攻击

    2) 创建FileFormat负载

    3) 创建社会工程模板

    更多相关内容
  • 通过Kali系统自带的社会工程学套件制作基于Windows系统的恶意感染设备(SET、MSF、INF文件利用) MSFconsole一款不错的入侵渗透环境可以通过制作木马或者是漏洞利用去入侵计算机系统并且监听控制 SEToolkit(简称...

    通过Kali系统自带的社会工程学套件制作基于Windows系统的恶意感染设备(SET、MSF、INF文件利用)

    MSFconsole一款不错的入侵渗透环境可以通过制作木马或者是漏洞利用去入侵计算机系统并且监听控制
    SEToolkit(简称SET)一款我觉得比较不错的社会工程学套件
    inf文件Windows系统文件利用

    一、创建攻击组织,搭建实验室网络环境

    1台攻击机(Kali)1台普通的windows7、8、10,网络环境局域网 需要物理设备1个U盘 大小200MB以上
    kali IP 192.168.31.182
    Windows IP 192.168.31.220

    二、利用SET制作恶意设备

    打开SET会问你YES AND NO 输入Y
    在这里插入图片描述
    进入菜单进行配置选1 Social - Engineering Attacks (社会工程攻击)
    在这里插入图片描述
    因为我需要制作恶意感染设备所以选3 Infectious Media Generator (传染媒介)
    在这里插入图片描述

    我需要调用MSF去入侵WIndows所以选2 Standard Metasploit Executable (Metasploit制作的木马文件)
    在这里插入图片描述

    进入后有很多监听模式可以选择,这些代表了木马的属性,但作为一般人来说用的最多的就是第2种
    Windows Reverse TCP Meterpreter(Windwos 反向TCP协议木马) 所以我们选2
    在这里插入图片描述

    然后出现LHOST 请输入你的Kali IP地址 攻击者监听
    接下来出现PORT 请输入你这个木马要监听使用的端口
    最后过一会right now (现在就绪)输入Y 木马就制作好了
    在这里插入图片描述

    打开文件夹点开小三角会出现Show Hidden Files(显示隐藏文件夹)
    在这里插入图片描述

    在.set文件夹里有个autorun的文件夹点击进入里面有两个文件一个是
    autorun.inf Windows配置文件
    program.exe 监听木马文件
    在这里插入图片描述
    只需要将这两个文件放入U盘,找到攻击目标让目标插入并且打开U盘即可
    然后打开MSF开始下一步操作因为该计算机已经运行了你的木马
    在这里插入图片描述

    三、入侵原理
    在这里插入图片描述

    没人愿意打开你的监听木马,但是inf文件会这个inf配置文件的意思是打开U盘图标的同时打开监听木马
    然后你就运行了该监听木马,攻击者就会得到一个权限,可以入侵控制电脑了

    四、警告该方法只能在实验室使用仅限研究,教学目的

    声明:原博客 我不是猫叔 ,帐号已被本人注销 ,本博客文章属于原帐号博客,属于本人原创 。

    展开全文
  • 使用Kali社会工程学套件中的 website attack vectors工具中的Credential Harvester Attack Method功能(登录验证机制攻击俗称表单提交攻击)进行内网钓鱼部署(该教程将实际讲述如何用模板使用,和克隆部署) ...

    使用Kali社会工程学套件中的 website attack vectors工具中的Credential Harvester Attack Method功能(登录验证机制攻击俗称表单提交攻击)进行内网钓鱼部署(该教程将实际讲述如何用模板使用,和克隆部署)

    一.成立攻击组织,搭建攻击环境。

    kali IP 192.168.10.218 无线网络(公司无线)
    欺骗目标 安卓手机 IP 10.117.12.216(公司无线网络)

    注意:攻击目标不管是手机还是电脑都可以欺骗,不管是同一网段还是不同网段只要都是内部网络都可以发起攻击,还有部分手机的浏览器提交机制保护不一样,可能部验证码分浏览器和手机提交后无法在KALI里看到密码和用户名.

    二.网站登录机制

    动态和静态验证两种,动态就是每次刷新网页登录加密机制随机更改,比如说网站登录验证码,网站短信验证码,和二位码登录其他第三方登录这些都是动态验证,(注意该工具不适合动态验证机制的网页).

    静态就是网页登录页面只有登录用户和密码并且刷新后不会随机更改,例如企业内部后台,部分低级网站,各种学校管理平台,校园网登录平台基本都是只要账号密码对就能上去不用验证的网站都是静态的.

    注意:此攻击只适用于静态登录机制的网站

    使用KLAI自动克隆网站去发钓鱼攻击

    打开KALI中的SET社会工程学套件后输入1进入菜单
    在这里插入图片描述
    进入后选择 2 website attack vectors(基于网站的攻击软件)
    在这里插入图片描述
    然后选择3 Credential Harvester Attack Method(登录验证机制攻击)
    在这里插入图片描述
    选择2克隆 网站方式来自定义网站克隆的页面(只用于静态提交机制的网站)
    在这里插入图片描述
    输入KALI IP地址和要克隆的网站网址
    在这里插入图片描述
    在这里插入图片描述
    然后三下回车 用手机或者电脑去访问192.168.10.218这个IP就能进入网站登录了
    最后成功获取密码
    在这里插入图片描述
    在这里插入图片描述

    注意只有静态网页才能成功.

    指定KALI模板去发起验证钓鱼攻击

    选1 使用系统模板来钓鱼在这里插入图片描述
    然后输入KALI的IP在这里插入图片描述
    这个系统自带的网站模板一共有3个我就随便用一个吧选谷歌
    2
    在这里插入图片描述
    回车两下等待上钩在这里插入图片描述
    手机开始访问192.168.10.218并且登录这个谷歌网站
    在这里插入图片描述
    最后得到密码和用户名
    在这里插入图片描述

    原理:该方法通过使用指定网页登录模板或克隆网站模板,修改POST数据库使的登录表单发送到指定IP.从而获取密码.但该方法只用于静态网页,并且只能在内网使用.

    警告:该方法只能用于实验室实验使用

    展开全文
  • Kali渗透测试:社会工程学工具 人是网络安全中一个远比设备和程序更重要的因素。在网络安全中,社会工程学所攻击的目标 就是人。在现实中,往往人的一点疏忽就导致了网络中的所有防御手段形同虚设。 1.1 社会工程学...

    Kali渗透测试:社会工程学工具

    人是网络安全中一个远比设备和程序更重要的因素。在网络安全中,社会工程学所攻击的目标 就是人。在现实中,往往人的一点疏忽就导致了网络中的所有防御手段形同虚设。

    1.1 社会工程学的概念

    社会工程学是一个通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的学科。黑客米特尼克(Mitnick)在他的作品《反欺骗的艺术》中第一次提到社会工程学,他认为长期以来在网络安全领域中,社会工程学指的就是利用受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱的手段,一些犯罪分子通过欺骗等手段来谋求利益,这也是网络安全的一大隐患。

    1.2 Kali Linux中的社会工程学工具包

    在Kali Linux中包含一个非常流行的工具包----社会工程学工具包(Social Engineer Toolkit, SET)。利用这个工具包,再加上使用者的“演技”,常常会让受害者在不知不觉中就掉入陷阱。限于法律和法规的限制,仅探讨SET的使用方法。

    SET由黑客David Kennedy (ReL1K)编写。 这不只是个单独的工具,而是常用的社会工程学工具的集合,其中包含许多渗透测试工具。

    首先,启动SET,这个工具包属于第13个分类Social Engineering Tools,如下图所示:

    使用这个工具包需要root用户的权限,启动时需要输入密码kali。启动SET之后的节目如下图所示:

    SET是一个菜单驱动的工具包,启动之后的SET工作界面如下图所示:

    选择对应的序号就可以使用指定的测试方法。上图中一共有7个选项,分别是:

    1)Social-Engineering Attacks:社会工程学攻击

    2)Penestration Testing (Fast-Track):渗透测试(Fast-Track)

    3)Third Party Modules:第三方模块

    4)Update the Social-Engineer Toolkit:升级社会工程学工具包

    5)Update SET configuration:升级SET配置

    6)Help, Credits, and About:帮助等

    我们按照这个系统提供的菜单来熟悉SET提供的功能。我们查看第一个选项—Social-Engineering Attacks中包含的功能,如下图所示:

    Social-Engineering Attacks 中一共包含10个功能,分别是:

    1)Spear-Phishing Attack Vectors:鱼叉式网络钓鱼攻击向量

    2)Website Attack Vectors:网页攻击向量

    3)Infectious Media Generator:感染式媒介生成器

    4) Create a Payload and Listener:创建Payload和Listener

    5)Mass Mailer Attack:海量邮件攻击

    6)Arduino-Based Attack Vector:基于Arduino的硬件攻击向量

    7)Wireless Access Point Attack Vector:无线热点攻击向量

    8)QRCode Generator Attack Vector:二维码攻击向量

    9)Powershell Attack Vectors:Powershell攻击向量

    10)Third Party Modules:第三方模块

    99)返回到主菜单。

    1.3 用户名和密码的窃取

    测试目标单位的 用户是否会严格遵守管理协议,是否对来历不明的地址做了充分的防御。首先,在上图所示的菜单中选择“Website Attack Vectors”,采用“Credential Harvester Attack Method”(信用盗取攻击方法)攻击方式。如下图所示:

    这第3项是一种专门用来窃取用户信息的工具,通过这个工具可以迅速克隆出一个网站,这个网站需要用户名和密码,用户在输入了用户名和密码之后,就会被Kali Linux服务器窃取。

    接下来,需要选择创建伪造网站的方式,这里展示的是常见3种方式,如下图所示:

    “Web Templates”(网站模块)是指利用SET中自带的模版作为钓鱼网站,SET中选择了几个国外比较有名的网站,如Yahoo、Gmail等。

    “Site Clone”(网站克隆)是SET中一个极为强大的功能,可以克隆任何网站。你可以使用它模拟出想要冒充的网站,如某个单位的办公系统等。

    “Custom Import”(自定义导入)允许你导入自己设计的网站。

    这里我们选择第二种方式,克隆一个已有的网站, 然后系统会提示我们输入一个用来接收窃取到的用户名和密码的IP地址。如下图所示:

    系统会要求我们输入一个用来克隆的网址,这里我以IBM的一个测试网站作为克隆的网站(出于遵守法律考虑)下图红框是测试网址,当SET中出现如下图所示的界面时表示 我们已经成功启动了伪造好的网站服务器。

    现在,我们在另外一台计算机(Win2008 R2)上访问这个伪造的网站,如下图所示:

    注意:这个网站和真实网站的登录界面事一模一样的。用户填写用户名(Username)和密码(Password)之后单击“Login”按钮,可提交信息,如下图所示:

    返回到Kali,可以看到截获的信息如下图所示:

    图中黄框内的内容就是刚才用户输入的用户名和密码。但这并不是真正的服务器,我们的网站只是一个登录界面,是不可能让用户真正登录网站的。我们经常有这种经历,就是在某个网站的登录界面输入了用户名和密码之后,刷新页面,我们就得再次输入用户名和密码,这时我们通常认为是第一次输入的时候不小心输错了,等再次输入用户名和密码之后,如果能进入网站,也就不再理会了。

    SET利用了我们这个心理,当用户第一次输入用户名和密码之后,用户的浏览器就会进行跳转,跳转到真实的网站,如下图所示:

    如果用户输入了正确的用户名和密码就可以登录网站了,就像什么都没发生过。这是一种隐蔽性极强的攻击方式。

    展开全文
  • Kali 使用QR Code Attack 发起二维码攻击(但其实Kali的QR Code Attack并不能做攻击使用,只能是作为欺骗准备的一部分) 准备工具 QR Code Attack 该工具可以自定义链接到二维码 (但按我理解就是个自定义网址的...
  • Kali Linux 网络渗透测试
  • Kali Linux-SET社会工程学攻击

    千次阅读 多人点赞 2020-03-14 23:07:03
    前言 社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击...Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透...
  • 1、打开setoolkit 输入我们反弹shell的地址与端口 2、修改我的shellcode 3、攻击成功 转载于:https://www.cnblogs.com/BloodZero/p/4463756.html
  • 使用社会工程学工具伪造网站 ​ 社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,...
  • 社会工程社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。对于素有类型的组织而言,人都是...
  • 网络渗透测试(五):社会工程学攻击 社会工程学时利用人性弱点体察,获取有价值信息的实践方法,它是一种欺骗的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。对所有...
  • 社会工程学工具包(SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,...
  • 二、课程目标: 掌握Kali Linux渗透测试与社会工程学技术 三、课程简介: 1、Kali Linux是基于Debian的Linux发行版操作系统,一开始是由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,...
  • 本文记录 Kali Linux 2018.7 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 参考 https://blog.csdn.net/Kevinhanser/article/details/79734491 1. 搜索引擎 2. SHODAN 3. ...
  • 此文章可学习钓鱼网站生成的技巧,切勿用于真实环境,仅用于...Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由Davi
  • Kali渗透测试之五社会工程

    千次阅读 2019-05-12 08:54:30
    社会工程学:如果目标网络没有直接的入口,欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击,很有可能帮助我们找到渗透目标系统的入口。例如:诱使用户运行会安装后门的恶意程序。社会工程学...
  • KALI Linux set工具社会工程学攻击教程,要比较全的,里边各种攻击的案例教程
  • 第五课社会工程学工具集 文/玄魂 教程地址:http://edu.51cto.com/course/course_id-1887.html 目录 第五课社会工程学工具集 SET SET的社会工程学攻击方法 鱼叉式钓鱼攻击(Spear-Phishing Attack) 网站攻击...
  • 该楼层疑似违规已被系统折叠隐藏此楼查看此楼It's easy to update using the PenTesters Framework! (PTF)Visit ...Process Process-2:Traceback (most recent call last):File...
  • 一、适合人群: 本课程适合兴趣计算机与网络安全技术的学员观看学习 二、课程目标: 学习和掌握...这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。
  • 首先,如果你是用的BT5,则set的配置文件是在 /pentest/exploits/set/set_config下。 APACHE_SERVER=ON ... 如果,你也是跟我一样,使用的是kali linux 2016.2(rolling),则set的安装目录默认是在  ...
  • 这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 二、常见疑问 问:英语和数学基础一般,能学会吗? 答:本课专门课程专为小白设计,英语和数学...
  • 第九章 客户端攻击和社会工程 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介我们目前所见的大部分技巧都尝试利用服务端的漏洞或设计缺陷,并访问它来从数据库中提取信息。有另外不...
  • 2、Metasploit功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 二、常见问题: 问:英语和数学基础一般,能学会吗? 答:这门课程专为小白设计,英语...
  • 若攻击主机kali是虚拟机,需保证虚拟机的kali是桥接模式 收集信息阶段 获取到本机IP地址 ip address 获取到网关地址 route -n 获取内网同网段下正在联网的所有电脑IP地址 fping -g 192.168.20.0/23 实施攻击...
  • SocialFish-kali社会工程学钓鱼工具

    千次阅读 2018-02-28 10:00:15
    参考:https://www.youtube.com/watch?v=hwMPsHkrS0M必须需要的环境:Python 2.7Wget from PythonPHPsudo可选系统:Kali Linux - Rolling EditionLinux Mint - 18.3 SylviaUbuntu - 16.04.3 LTSMacOS High Sie...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,101
精华内容 840
关键字:

kali社会工程

友情链接: 340863.rar