标签：SET 攻击 工程学 默认 二维码 模板 kali 输入

目录

• SET框架结构
• 钓鱼网站（1-2-3）
• • 默认模板（1-2-3-1）
  • 站点克隆（1-2-3-2）
• 二维码（1-8）
• 远控木马（1-4）
• 参考

总结了网上关于SET的相关文章，合并成了这篇学习笔记

Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET)，它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。

SET框架结构

1. Social-Engineering Attacks #社会工程攻击
2. Penetration Testing (Fast-Track) #渗透测试（快速通道）
3. Third Party Modules #第三方模块
4. Update the Social-Engineer Toolkit #更新社会工程师工具包
5. Update SET configuration #更新SET配置
6. Help, Credits, and About #帮助，学分和关于
7. Exit the Social-Engineer Toolkit #退出社会工程师工具包

钓鱼网站（1-2-3）

在SET的选项种，依次输入1、2、3进入到钓鱼网站模块中
网络环境：

win10物理机	192.168.43.90
kali	192.168.239.141
win7	192.168.239.132

注意：实验的时候，每完成一次实验，请完全退出SET；浏览器也使用无痕模式，避免影响实验效果

默认模板（1-2-3-1）

默认模板中提供了3种模板，分别是：

• Java Required
• Google
• Twitter

所以，这种攻击手法的思路就是创建了一个类似的网站，诱骗受害者输入账密

1. 在kali中输入sudo setoolkit启动工具
2. 依次输入1、2、3、1，进入到默认模板功能项
3. 接着需要设置用于钓鱼的IP地址（此处默认Kali本机IP，同时会默认设定80端口）
   1. 输入ss -antplu | grep 80检查到80端口没有被占用
   2. 如果占用的话（一般是apache占用），执行命令systemctl stop apache2关闭Apache服务

4. 选择钓鱼的网站(下面选择谷歌登录)
5. win10（受害者）访问kali的ip地址（会看到长着Google样子的钓鱼网站）
6. win10（受害者）输入账密，登录后会进行跳转到谷歌官网，即：google.com

7. kali捕获到刚才win10输入的账号和密码，攻击成功

站点克隆（1-2-3-2）

除了选择 SET 自带的三个登录站点的模板外，SET 也允许攻击者自己选择站点进行克隆，伪造钓鱼网站。

1. 在kali中输入sudo setoolkit启动工具
2. 依次输入1、2、3、2，进入到站点克隆
3. 接着需要设置用于钓鱼的IP地址（此处默认Kali本机IP，同时会默认设定80端口）
   1. 输入ss -antplu | grep 80检查到80端口没有被占用
   2. 如果占用的话（一般是apache占用），执行命令systemctl stop apache2关闭Apache服务
4. 克隆你需要的一个站点

这里我使用inurl:login随便在网上搜一个登录窗口，作为实验演示

5. 接着将监听的地址设为本机IP(直接 Enter 键默认也行)，然后将克隆的网站地址设置为某网站的登录页面，即可成功克隆并进入监听状态：
   

6. win10（受害者）访问kali的地址

7. kali捕获到刚才win10输入的账号和密码，攻击成功

二维码（1-8）

其实有点无聊，所谓二维码攻击就是把一个URL地址转换为一个二维码，网上有很多在线平台（如草料二维码等）可以帮助我们生成各式各样的二维码。所以这里不打推荐SET工具。

1. 在kali中输入sudo setoolkit启动工具
2. 依次输入1、8，进入到默认模板功能项
3. 输入某网站的地址，获得相关二维码文件

4. 查看二维码

5. 手机扫描一下，打开了相关网站

远控木马（1-4）

小声bb

标签：SET,攻击,工程学,默认,二维码,模板,kali,输入
来源： https://blog.csdn.net/weixin_44288604/article/details/120683673

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。