钓鱼网站的制作实训
实训目的:
通过实训掌握社会工程学工具包的使用方法。
场景描述:
社会工程学工具包(SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。本实训利用社会工程学工具包创建一个钓鱼网站。
在虚拟机环境下配置 “Win7”和“Kali Linux”2个虚拟系统,使得虚拟系统之间能够相互通信。利用社会工程学工具包构造钓鱼网站,然后利用DNS欺骗,使受骗者在不知不觉的情况下打开钓鱼网站。
任务1 生成凭据采集钓鱼网站
使用SET工具集生成一个钓鱼网站,利用该网站收集帐号名和密码等重要信息。
实训步骤:
1. 在kali的终端中输入命令“setoolkit”,启动社会工程学工具集。
2.选择“1) Social-Engineering Attacks”,进入社会工程学攻击。
3.选择“2) Website Attack Vectors”,进入网站攻击向量。
4.选择“3) Credential Harvester Attack Method”,进入凭据采集器攻击。
5.选择”2)Site Cloner”,进入网站克隆。
6.输入攻击者的IP地址,然后输入想要克隆的网页的网址www.XXX.com,如图9-15所示。这里克隆的网页最好是受害者经常访问的网站,一旦受害者在浏览该克隆网站并输入账号名和密码时,这些重要信息会被记录下来。
图9-15 克隆网页
7.在/var/www下会生成的3个文件,把这3个文件拷贝到/var/www/html中。对index.html做适当的调整,使得克隆的网站能正常访问并能输入有关信息。
8.在Win7中打开浏览器,访问192.168.83.134主机的主页,这个就是我们克隆的网页,然后输入用户名和密码登录,如图
9.当我们点击“登录”按钮的时候,会跳转到正常的网页,而且用户所输入的信息已经被保存下来,如图9-17所示。
10.真假网页对比
