记一次360实训平台的实验
渗透测试工具-SET工具使用-钓鱼网站实验
实验目的
通过本实验理解社工平台SET的模块组成及功能,掌握利用SET软件配置钓鱼网站的方法与过程,熟悉常见社工场景的安全防护测量。
实验原理
开源的社会工程学利用套件SET,能够支持鱼叉式网络钓鱼攻击、网页攻击、传染媒介式(俗称木马)、建立payloaad和listener、邮件群发攻击、Arduino基础攻击、无线接入点攻击、二维码攻击和Powershell攻击等常见社工的攻击场景。所使用的攻击方法有Java Applet攻击方法、 Metasploit浏览器利用方法、凭证收割机攻击方法、Tabnabbing攻击方法、Web顶击攻击方法、多重攻击Web方法、全屏幕攻击方法和HTA攻击方法等。
实验场景
实验步骤
1、sudo su
进入root
2、输入setoolkit进入配置界面(注意同意启用相关服务)
配置钓鱼网站参数
1.选择常见模块,本次实验使用第一种模块,社工模块(Social-Engineering Attacks)
2.选择第二种攻击类型:Web网站攻击类型(Website Attack Vectors)
3.使用第三种方法:密码凭证收割机攻击方法
4.配置成使用第一项:网站模板方法来伪造钓鱼网站(Web Templates )
5.设置本地IP地址为钓鱼网站的IP,输入后敲回车
6.选择要伪造成的网站模板,本实验选用google网站模板
7.提示可能需要修改网页的路径,默认敲回车即可,能够看到80服务已开启
客户端浏览器访问,被窃取账号信息
