Kali社会工程学套件上的网站欺骗攻击（钓鱼欺骗篇）

使用Kali社会工程学套件中的 website attack vectors工具中的Credential Harvester Attack Method功能(登录验证机制攻击俗称表单提交攻击)进行内网钓鱼部署（该教程将实际讲述如何用模板使用，和克隆部署）

一.成立攻击组织，搭建攻击环境。

kali IP 192.168.10.218 无线网络(公司无线)
欺骗目标 安卓手机 IP 10.117.12.216(公司无线网络)

注意:攻击目标不管是手机还是电脑都可以欺骗,不管是同一网段还是不同网段只要都是内部网络都可以发起攻击,还有部分手机的浏览器提交机制保护不一样,可能部验证码分浏览器和手机提交后无法在KALI里看到密码和用户名.

二.网站登录机制

动态和静态验证两种,动态就是每次刷新网页登录加密机制随机更改,比如说网站登录验证码,网站短信验证码,和二位码登录其他第三方登录这些都是动态验证,(注意该工具不适合动态验证机制的网页).

静态就是网页登录页面只有登录用户和密码并且刷新后不会随机更改,例如企业内部后台,部分低级网站,各种学校管理平台,校园网登录平台基本都是只要账号密码对就能上去不用验证的网站都是静态的.

注意:此攻击只适用于静态登录机制的网站

使用KLAI自动克隆网站去发钓鱼攻击

打开KALI中的SET社会工程学套件后输入1进入菜单

进入后选择 2 website attack vectors(基于网站的攻击软件)

然后选择3 Credential Harvester Attack Method(登录验证机制攻击)

选择2克隆 网站方式来自定义网站克隆的页面(只用于静态提交机制的网站)

输入KALI IP地址和要克隆的网站网址


然后三下回车 用手机或者电脑去访问192.168.10.218这个IP就能进入网站登录了
最后成功获取密码

注意只有静态网页才能成功.

指定KALI模板去发起验证钓鱼攻击

选1 使用系统模板来钓鱼
然后输入KALI的IP
这个系统自带的网站模板一共有3个我就随便用一个吧选谷歌
2

回车两下等待上钩
手机开始访问192.168.10.218并且登录这个谷歌网站

最后得到密码和用户名

原理:该方法通过使用指定网页登录模板或克隆网站模板,修改POST数据库使的登录表单发送到指定IP.从而获取密码.但该方法只用于静态网页,并且只能在内网使用.

警告:该方法只能用于实验室实验使用