社工系列之钓鱼网站

什么是社会工程学

社会工程学（Social Engineering）认为人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

开始攻击

启动setoolkit

终端执行setoolkit即可启动，效果如下：

QQ截图20190917102250.png先来看看菜单

Selectfrom the menu:1) Social-Engineering Attacks （社会工程攻击）2) Penetration Testing (Fast-Track) （渗透测试（快速通道））3) Third Party Modules（第三方模块）4) Update the Social-Engineer Toolkit（更新社会工程师工具包）5) UpdateSET configuration（更新集配置）6) Help, Credits, and About99) Exit the Social-Engineer Toolkit

菜单我们选择1进入社会工程学攻击模块界面菜单如下：

菜单2菜单翻译如下：1）鱼叉式网络钓鱼攻击载体

2）网站攻击向量

3）传染源

4）创建负载和侦听器

5）群发邮件攻击

6）基于Arduino的攻击向量

7）无线接入点攻击向量

8）qrcode生成器攻击向量

9）powershell攻击向量

10）第三方模块我们选择2Website Attack Vectors

请输入图片描述再次选择3菜单如下1) Web Templates （自带模板攻击）2) Site Cloner （克隆网站）3) Custom Import （导入项目）

我们先来测试下`1`

要求输入ip地址（kali的ip地址）

请输入图片描述输入后回车，选择系统默认的几个模板，这里我们选择google的模板

请输入图片描述回车后我们用浏览器访问我们kali的ip地址

请输入图片描述当我们输入密码登录后，在kali的终端中就可以看到刚才输入的账号和密码。

请输入图片描述基于克隆网站的攻击

正如上述，google账号在国内还是比较少的，那么如何更加亲民呢？我可可以尝试去克隆我们常用的一些网站。这里演示下，如何克隆某口的登录界面。返回上级菜刀，我们输入2选择Site Cloner效果如下：

请输入图片描述当然我们也可以去克隆xxxbao