如何使用setoolkit实施钓鱼攻击
前言
当我们在访问一个网站的时候,可能偶尔会遇到这样的情况,打开网页,并没有发现什么异常,但是当我们在网页表单中输入用户名和密码等信息然后点击登录按钮进行数据提交的时候,发现页面突然闪了一下,并且页面又出现了一个空白的表单,刚输入的数据全部消失了,这时候给我们的感觉就是怀疑自己刚才可能输错了数据,或者说怀疑自己的网络可能出现了什么问题。然而事实真的是这样吗?作为一个从事网络安全的技术人,我怀疑你可能已经遭受了网络钓鱼攻击。
接下来,笔者将揭秘一下黑客是如何通过setoolkit这个软件实施网络钓鱼攻击的。
实验环境准备
攻击机:kali(ip:192.168.153.129)
目标网站:即想要实施钓鱼攻击的网站(这里读者可自行选择,网站在互联网真实存在即可)
工具软件:setoolkit
实验步骤
第一步 启动软件
由于setoolkit在使用过程中会涉及到metasploit中的相关内容,所以在启动setoolkit前先启动postgresql数据库,然后再启动setoolkit
第二步 针对钓鱼攻击对软件进行配置
启动setoolkit后,会出现一个项目选择列表,本次实验的内容为实施钓鱼攻击,而钓鱼攻击也是属于社会工程学攻击的范畴,所以我们这里选择1,社会工程学攻击
进入这个菜单子项后同样会出现一个选择列表,这里我们选择第二项,web站点导向
由于我们实施钓鱼攻击的目的是窃取用户输入的用户名和口令,所以我们在这个菜单列表中选择第三项,针对身份认证信息的攻击方法
然后在选择第二项,站点克隆
进入站点克隆选项后我们会看到一个需要输入ip地址的选项,注意这里需要输入的ip地址是攻击者的ip,也就是用户第一次看到的钓鱼网站的ip地址,所以我们在这里输入攻击机的ip
输入之后回车,发现这里需要我们输入一个url地址,这里要输入的url地址就是钓鱼网站的真实网站的url地址,即想要实施钓鱼攻击的网站上的url,笔者这里出于对真实网站安全性的考虑,对网站的url进行了打码保护,希望读者理解
然后setoolkit出现了一个提示信息,这里我们直接输入return即可
到这里,钓鱼攻击的前期准备工作就完成了,现在只等着“鱼儿”上钩即可
第三步 通过浏览器访问钓鱼网站
由于笔者所做皆为实验内容,为广大读者解密黑客如何实施钓鱼攻击,所以在这里就直接通过在浏览器中输入IP地址访问钓鱼网站,在真实的攻击环境中,黑客往往还会采用DNS欺骗的手段致使用户对钓鱼网站难以识别
可以发现我们已经成功访问到了钓鱼网站,与真实网站对比,发现唯一与之不同的就是url地址栏中的信息,如何再利用DNS欺骗就地址栏中ip地址转换为网站的域名,作为一个普通网络用户来说,一般都不会对这些信息有所留意,往往当其以成功访问到网站的时候,首先就会在网页表单中填写对应信息。笔者为了测试实验效果,也在对应表单中填写了相应数据,然后点击登录按钮进行数据提交
我们发现网站页面并没有进行跳转,而是闪动了一下,并且表单里填写的数据都消失了,这个时候我们再看网站的url地址,发现已经变为了网站真实的url地址,然后我们再回到setoolkit来看看刚才发生了什么
不可思议的事情发生了,用户在网站上提交的用户名密码等个人信息已经出现了黑客的电脑上,并且在这个时候,大多数用户可能都还没有察觉自己的用户名和口令已经泄露了
实验总结
本次实验通过对黑客实施钓鱼攻击的高度还原,揭秘了黑客如何通过setoolkit这个工具软件来实施钓鱼攻击以窃取用户的用户名和口令信息,并且也暴露了在钓鱼攻击中存在的一些细微的缺陷,帮助用户察觉所访问的网站为真实网站还是钓鱼网站。那么我们在上网过程中如何防范钓鱼攻击呢?或者说发现自己已经遭受钓鱼攻击后该如何处理呢?首先,在访问需要登录的网站时,要仔细观察网站的url地址,往往钓鱼网站的url地址与真实网站的都会有所差距;其次,当我们在访问比较重要的网站的时候,笔者建议直接通过ip地址访问,避免钓鱼攻击。当我们发现已经遭受钓鱼攻击后,要及时登录修改自己的用户名和口令,避免造成更大的损失。
特别声明:
本实验纯属个人学习研究,若读者利用该实验方法发起真实攻击,造成一切后果都由其个人承担,与本文作者无关
如何使用setoolkit实施钓鱼攻击相关推荐
- 使用setoolkit 进行钓鱼攻击
该实验仅用于学习,请不要实现违法目的 该攻击在kali虚拟机和阿里云的Ubuntu 16.04下进行 在Ubuntu 16.04下安装setoolkit 由于setoolkit无法用apt安装,所以需 ...
- setoolkit的钓鱼攻击
试验设备 Linux kali 5.9.0版本 在kail中setoolkit自带,无需下载,运行时需要赋予root权限 打开我们所需要的工具 setoolkit //打开工具 会跳出很多选项 Soc ...
- setoolkit进行钓鱼攻击
此实验仅用于学习,禁止违法目的~~~ setoolkit,即社会工程学工具集Social-Engineer Toolkit,该工具可用来产生钓鱼网站,在kali上可直接使用,github上也有,下载链 ...
- 社工利器--setoolkit之钓鱼攻击
该文章仅供参考学习,切勿用于非法用途 简介 社会工程学(Social Engineering)认为人为因素才是安全的软肋.很多企业.公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生 ...
- 6.2 网络钓鱼攻击
目录 一.了解网络钓鱼 二.实验环境 三.实验步骤 四.实验过程中出现的一些问题 一.了解网络钓鱼 网络钓鱼(phishing)由钓鱼(fishing)一词演变而来.在网络钓鱼过程中,攻击者使用诱饵( ...
- 网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术
要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免 ...
- 与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击...
2019独角兽企业重金招聘Python工程师标准>>> Netcraft 反钓鱼系统支持最主流浏览器,如果安裝 GlobalSign 数字证书的网站正遭受钓鱼攻击,Netcraft ...
- 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它
随着商业世界继续努力应对新常态的不断扩展,网络钓鱼攻击仍然是攻击者的一种常见策略.为什么网络钓鱼攻击仍有发生?我们该如何预防他们呢?我们采访了一位威胁分析师,他告诉了我们答案. 2020年5月,X-F ...
- 红蓝对抗之邮件钓鱼攻击
文|腾讯蓝军 jumbo 红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW.WAF.IDS.IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重.但是,⼈永远是最⼤ ...
最新文章
- HSRP多组基础配置实验
- VS2008正式版创建silverlight项目失败的解决办法
- Unity 3D:在现有的Android游戏场景中显示AdMob的横幅
- 怎么能方便的进行数据库存储过程的版本管理?
- 《数据库SQL实战》获取所有部门当前manager的当前薪水情况
- MySQL百万级/千万级数据存储解决方案
- 万字详述 MySQL ProxySQL
- SpringCloud注册与发现Eureka
- Spring Boot WebFlux 上手教程
- 【Django 2021年最新版教程1】windows10+python3.9.5+pycharm2021.1.1+Django3.2.3新建一个web项目 教程
- python字典合并最高效_Python合并两个字典的常用方法与效率比较
- 用一个键盘和鼠标控制两台双显示器计算机的最佳方法是什么?
- win10管理员权限怎么获得_终于解决了:你需要来自XXX的权限才能对此文件进行更改
- 如何选择智能车牌识别摄像机
- 如何安装Chocolatey
- 谷歌seo快速排名优化方法
- 用java基础实现五子棋
- c语言new函数 百科,C语言函数—搜狗百科
- SpringJpa @query 中根据传入参数(字段)排序
- python3中使用requests库出现的编码问题