Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)

使用Kali社会工程学套件中的 website attack vectors工具中的Credential Harvester Attack Method功能(登录验证机制攻击俗称表单提交攻击)进行内网钓鱼部署(该教程将实际讲述如何用模板使用,和克隆部署)

一.成立攻击组织,搭建攻击环境。

kali IP 192.168.10.218 无线网络(公司无线)
欺骗目标 安卓手机 IP 10.117.12.216(公司无线网络)

注意:攻击目标不管是手机还是电脑都可以欺骗,不管是同一网段还是不同网段只要都是内部网络都可以发起攻击,还有部分手机的浏览器提交机制保护不一样,可能部验证码分浏览器和手机提交后无法在KALI里看到密码和用户名.

二.网站登录机制

动态和静态验证两种,动态就是每次刷新网页登录加密机制随机更改,比如说网站登录验证码,网站短信验证码,和二位码登录其他第三方登录这些都是动态验证,(注意该工具不适合动态验证机制的网页).

静态就是网页登录页面只有登录用户和密码并且刷新后不会随机更改,例如企业内部后台,部分低级网站,各种学校管理平台,校园网登录平台基本都是只要账号密码对就能上去不用验证的网站都是静态的.

注意:此攻击只适用于静态登录机制的网站

使用KLAI自动克隆网站去发钓鱼攻击

打开KALI中的SET社会工程学套件后输入1进入菜单
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第1张图片
进入后选择 2 website attack vectors(基于网站的攻击软件)
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第2张图片
然后选择3 Credential Harvester Attack Method(登录验证机制攻击)
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第3张图片
选择2克隆 网站方式来自定义网站克隆的页面(只用于静态提交机制的网站)
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第4张图片
输入KALI IP地址和要克隆的网站网址
在这里插入图片描述
在这里插入图片描述
然后三下回车 用手机或者电脑去访问192.168.10.218这个IP就能进入网站登录了
最后成功获取密码
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第5张图片
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第6张图片

注意只有静态网页才能成功.

指定KALI模板去发起验证钓鱼攻击

选1 使用系统模板来钓鱼Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第7张图片
然后输入KALI的IP在这里插入图片描述
这个系统自带的网站模板一共有3个我就随便用一个吧选谷歌
2
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第8张图片
回车两下等待上钩Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第9张图片
手机开始访问192.168.10.218并且登录这个谷歌网站
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第10张图片
最后得到密码和用户名
Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇)_第11张图片

原理:该方法通过使用指定网页登录模板或克隆网站模板,修改POST数据库使的登录表单发送到指定IP.从而获取密码.但该方法只用于静态网页,并且只能在内网使用.

警告:该方法只能用于实验室实验使用

你可能感兴趣的:(Kali社会工程学套件上的网站欺骗攻击(钓鱼欺骗篇))