Orserg ISPT 内网安全项目组A9-1 项目训练文档

Orserg 内网安全项目组官方基础训练文档 （A-9项目）

你好安全人员！我是Orserg一个高性能可开放托管组织，专针对初学安全人员提供最为简单并且完全免费的文档资料。很高兴认识你并且能让你从中学习到一些东西。如果你希望加入Orserg学到更多东西请在CSDN上搜索Orserg关注并且私信我们，我们会在第一时间接收到并且联系你。

Orserg ISPT :

Hello!内网安全实验人员。我是Orserg内网安全项目组简称ISPT，针对学习内网安全的初级A类研究人员提供较为简单的实验项目。在这2个月内你将学会并使用Metasploit的多种基础攻击技能。如信息收集、漏洞扫描、漏洞利用、攻击载荷、免杀编码和社会工程方面的简单攻击。

实验环境：

该文件的所有实验只适用于内网安全，并且所有环境均为自己搭建，包括特殊系统镜像，渗透工具、或者是虚拟机等，请确保你有搭建实验平台的条件，才能顺利完成安全实验。Orserg ISPT在模拟环境方面可能会用到Windows Server服务器或服务器搭建等多种企业环境模拟技术这些技术都会展现在内网实验环境搭建 中。

社会工程

Kali中SET（社会工程学套件）在做一些社会工程方面的攻击有极大的帮助，在这里我们将比较简单实用的攻击方法作为实例项目，详细请看Orserg上的社会工程学项目，那里有对各种社会工程方面的最为详细介绍和实验项目。

A-9-1 登录泄露攻击

该攻击可伪造POST类型登录网页，在目标访问并且登录该网站后则获取用户密码。
1. 打开该工具（SET）

2. 第一次使用该软件需要授权该软件,这里输入y确认

3. 进入社会工程学套件

4. 进入web攻击套件

5. 进入钓鱼凭证套件

6. 克隆登录网页

7. 输入KALI IP

8. 输入克隆的登录网页链接
http://user.cqu.edu.cn/login/sign_in
这里我们就以该登录后台为例子

9. 目标访问kali IP 则会进入钓鱼登录后台
http://KALI IP
例：http:10.110.0.172（其中的IP便是KALI IP）

10. 登录后截取密码

因为这个网页比较特殊
一般username=用户名
Password=密码
各类网页的用户名类型和密码类型不一样，请确保自己实验过后在分析。

接下来使用http://beta.pospal.cn/account/signin?来实验一下

Orserg ISPT:

Hello! ISPT Research Worker (ISPT 研究人员) 你已经完成第一项考核，考核完成后需要联系管理员申请下一个项目。