set工具集的基础使用

目录

一、setoolkit介绍

开源的社会工程学利用套件,通常结合 metasploit 来使用。Social-Engineer Toolkit 专 门 用 于 社 会 工 程 的 高 级 攻 击 包 。SET 由 David Kennedy(ReL1K)编写,并在社区人员的大量帮助下,它包含了 以前从未见过的攻击工具集。渗透测试期间,工具包中内置的攻击工具可以进行有针 对性地集中攻击。SET 的主要目的是自动化并改进社会工程学攻击。它能够自动生成隐 藏了 EXP 的网页或电子邮件、木马文件、消息,同时还能使用 Metasploit 的 payload, 例如网页一旦被打开便会连接 shell。该版本的 SET 可植入多种 powershell 并进行任 意端口的转发,同时 SET 不会触及硬盘且使用已经进入白名单的进程,因此不会触发 杀毒软件的报警。

二、set工具集实战

1、set工具集实现网络钓鱼实战

1.检查网络中的所有计算机

在这里插入图片描述
2.在 kali 终端中输入 setoolkit 即可启动 set root@kali:~# setoolkit 你同意服务条款吗? Do you agree to the terms of service [y/n]:y
Select from the menu:

  1. Social-Engineering Attacks --社会工程学攻击
  2. Penetration Testing (Fast-Track) --快速追踪测试
  3. Third Party Modules --第三方模块
  4. Update the Social-Engineer Toolkit --升级软件
  5. Update SET configuration --升级配置
  6. Help, Credits, and About --帮助
  7. Exit the Social-Engineer Toolkit --退出
    在这里插入图片描述
    3.选择 1—社会工程学攻击
    Select from the menu: --从菜单中选择:
  8. Spear-Phishing Attack Vectors --鱼叉式网络钓鱼攻击载体
  9. Website Attack Vectors --网站攻击向量
  10. Infectious Media Generator --传染源
  11. Create a Payload and Listener --创建负载和侦听器
  12. Mass Mailer Attack --群发邮件攻击
  13. Arduino-Based Attack Vector --基于 Arduino 的攻击向量
  14. Wireless Access Point Attack Vector --无线接入点攻击向量
  15. QRCode Generator Attack Vector --qrcode 生成器攻击向量
  16. Powershell Attack Vectors --powershell 攻击向量
  17. SMS Spoofing Attack Vector --短信欺骗攻击向量
  18. Third Party Modules --第三方模块
  19. Return back to the main menu. --返回主菜单
    在这里插入图片描述
    4.选择 2,网站攻击向量
  20. Java Applet Attack Method – Java Applet 攻击方法 2) Metasploit Browser Exploit Method – Metasploit 浏览器利用方法
  21. Credential Harvester Attack Method --凭证收割机攻击方法
  22. Tabnabbing Attack Method --制表攻击方法
  23. Web Jacking Attack Method --Web Jacking 攻击方法
  24. Multi-Attack Web Method --多攻击 web 方法
  25. Full Screen Attack Method --全屏攻击法 8) HTA Attack Method – HTA 攻击方法
    在这里插入图片描述
    5.选择 5,Web Jacking 攻击方法
  26. Web Templates --web 模板
  27. Site Cloner --页面克隆
  28. Custom Import --自定义导入
  29. Return to Webattack Menu
    在这里插入图片描述6.选择 2,克隆
    7.要求您提供一个 IP 地址(Kali Linux 计算机的 IP 地址,攻击机的 IP)
    8.输入克隆的网站,如:https://iaaa.pku.edu.cn/iaaa/oauth.jsp?appID=webvpn&appName=WebVPN&redirectUrl=https%3a%2f%2fw.pku.edu.cn%2fusers%2fauth%2fpkuauth%2fcallback(北京大学门户)
    在这里插入图片描述
    现在网站克隆成功,可以将网址发给受害者,受害者点击,kali主机将会收到目标的信息。
    在这里插入图片描述成功捕获到目标信息,包括目标输入的账号和密码。

2、set工具集之木马欺骗实战反弹链接(获取权限打开目标网络摄像头)

1.打开setoolkit进行选项选择参数,具体含义上文有对照。
在这里插入图片描述
在这里插入图片描述设置攻击机ip地址及监听端口号
在这里插入图片描述生成payload文件,将此文件发给受害者。
在这里插入图片描述攻击机打开msfconsole 设置攻击模块及攻击载荷。(注意和生成的payload一致)
在这里插入图片描述成功拿到目标权限,并打开了目标网络摄像头
在这里插入图片描述在这里插入图片描述

注意:仅供学习参考,切勿恶意用途!