渗透测试工具-SET工具使用-钓鱼网站实验

记一次360实训平台的实验
渗透测试工具-SET工具使用-钓鱼网站实验

实验目的

通过本实验理解社工平台SET的模块组成及功能，掌握利用SET软件配置钓鱼网站的方法与过程，熟悉常见社工场景的安全防护测量。

实验原理

开源的社会工程学利用套件SET，能够支持鱼叉式网络钓鱼攻击、网页攻击、传染媒介式（俗称木马）、建立payloaad和listener、邮件群发攻击、Arduino基础攻击、无线接入点攻击、二维码攻击和Powershell攻击等常见社工的攻击场景。所使用的攻击方法有Java Applet攻击方法、 Metasploit浏览器利用方法、凭证收割机攻击方法、Tabnabbing攻击方法、Web顶击攻击方法、多重攻击Web方法、全屏幕攻击方法和HTA攻击方法等。

实验场景

实验步骤

1、sudo su
进入root
2、输入setoolkit进入配置界面（注意同意启用相关服务）

配置钓鱼网站参数

1.选择常见模块，本次实验使用第一种模块，社工模块（Social-Engineering Attacks）

2.选择第二种攻击类型：Web网站攻击类型（Website Attack Vectors）

3.使用第三种方法：密码凭证收割机攻击方法

4.配置成使用第一项：网站模板方法来伪造钓鱼网站（Web Templates ）

5.设置本地IP地址为钓鱼网站的IP，输入后敲回车
6.选择要伪造成的网站模板，本实验选用google网站模板

7.提示可能需要修改网页的路径，默认敲回车即可，能够看到80服务已开启

客户端浏览器访问，被窃取账号信息