渗透测试工具——SET「建议收藏」

渗透测试工具——SET「建议收藏」社会工程学使用计谋、假情报或人际关系去获得利益和其他敏感信息。 攻击对象一-一人一-秘密信息的保存者,信息安全链中最薄弱的环节。 利用受害者的本能反应、好奇心、信任、贪婪等心理弱点进行欺骗、伤害。常见的社会工程学攻击方式环境渗透:对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些收集信息来判断目标的网

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

社会工程学

  • 使用计谋、假情报或人际关系去获得利益和其他敏感信息。
  • 攻击对象一-一人一-秘 密信息的保存者,信息安全链中最薄弱的环节。
  • 利用受害者的本能反应、好奇心、信任、贪婪等心理弱点进行欺骗、伤害。

常见的社会工程学攻击方式

环境渗透:对特定的环境进行渗透,是社会工程学为了获得所需的情报或敏感信息经常采用的手段之一。社会工程学攻击者通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID电话号码、管理员的IP地址、邮箱等,通过这些收集信息来判断目标的网络构架或系统密码的大致内容,从而获取情报。

引诱:网上冲浪经常碰到中奖、免费赠送等内容的邮件或网页,诱惑用户进入该页面运行下载程序,或要求填写账户和口令以便“验证”身份,利用人们疏于防范的心理引诱用户,这通常是黑客早已设好的圈套。
伪装欺骗:目前流行的网络钓鱼事件以及更早以前的求职信病毒、圣诞节贺卡,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。

说服:说服是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段,特别地,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益-致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头,那么配和就很容易达成,他甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
恐吓:社会工程学师常常利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以权威机构的身份出现,散布安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,并声称如果不按照他们的要求去做,会造成非常严重的危害或损失。
恭维:高明的黑客精通心理学、人际关系学、行为学等社会工程学方面的知识与技能,善于利用人类的本能反应、好奇心、盲目信任、贪婪等人性弱点设置陷阱,实施欺骗,控制他人意志为己服务。他们通常十分友善,很讲究说话的艺术,知道如何借助机会均等去迎合人,投其所好,使多数人会友善地做出回应,乐意与他们继续合作。
反向社会工程学:反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或网络管理人员透露或者泄漏攻击者需要获取的信息。这种方法比较隐蔽,很难发现,危害特别大,不容易防范。

 SET简介

  • SET 是Kali Linux中集成的一-款社会工程学工具包,它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。
  • SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。SET最常用的攻击手法包括:用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

 在Kali中启动SET

方法一:选择系统菜单->社会工程学工具集(Social Engineering Tools) ->socialenqineering toolkit

渗透测试工具——SET「建议收藏」

 方法二:在终端输入setoolkit命令

渗透测试工具——SET「建议收藏」

渗透测试工具——SET「建议收藏」

 SET菜单项说明

  • 1) Social-Engineering Attacks:社会工程学攻击
  • 2) Penetration Testing (Fast- Track):快速追踪渗透测试
  • 3) Third Party Modules:第三方模块
  • 4) Update the Social-Engineer Toolkit:更新SET
  • 5) Update SET configuration:升级SET的配置(每次设置完set.config需要)
  • 6) Help, Credits, and About: SET使用帮助及 相关信息
  • 99) Exit the Social-Engineer Toolkit:退出SET

SET使用实例——建立钓鱼网站收集目标凭证

步骤1:启动SET

步骤2:选择菜单第1项:Social-Engineering Attacks:社会工程学攻击

步骤3:继续选择菜单第2项:Website Attack Vectors(网站攻击向量)

渗透测试工具——SET「建议收藏」

 步骤4:继续选择菜单第3项:Credential Harvester Attack Method(凭证收集攻击方法)

渗透测试工具——SET「建议收藏」

 步骤5:继续选择菜单第一项:Web Templates(网站模板)

渗透测试工具——SET「建议收藏」

步骤6: 设置凭证收集器(攻击机)的IP地址

渗透测试工具——SET「建议收藏」

 步骤7:继续选择菜单第2项:Google,建立google网站模板。

渗透测试工具——SET「建议收藏」

步骤8:模拟受害机登录Google网站,输入用户名和密码并尝试登录,观察到攻击机SET界面成功监听到受害机的用户名和密码信息。

渗透测试工具——SET「建议收藏」渗透测试工具——SET「建议收藏」

 SET使用实例——二维码攻击

步骤1:启动SET

步骤2:选择菜单第1项:Social-Engineering Attacks:社会工程学攻击

步骤3:继续选择菜单第8项: QRCode Generator Attack Vector (二维码生成器攻击向量)
步骤4:设置二维码对应网站URL,设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png。

渗透测试工具——SET「建议收藏」

 步骤5:查看二维码,可以使用xdg-open命令打开图片

渗透测试工具——SET「建议收藏」

 步骤6:手机扫描二维码。

手机浏览器扫描结果

渗透测试工具——SET「建议收藏」

 手机微信扫描结果

渗透测试工具——SET「建议收藏」

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/169907.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • STM32 看门狗详解

    STM32 看门狗详解目录1、IWDG1.1独立看门狗简介1.2独立看门狗的特点1.3独立看门狗功能描述1.4硬件看门狗1.5寄存器访问保护1.6调试模式2、WWDG2.1简介2.2窗口看门狗主要特点2.3窗口看门狗功能说明2.4如何设置看门狗超时2.5调试模式3、区别1、IWDG1.1独立看门狗简介IWDG(Independentwatchdog)独立看门狗,可以用来检测并解决由于软件错误导致的故障,当计数器到达给定的超时值时,会触发

  • <Win32_15>用纯C语言来实现WP8中磁贴动态翻转的功能「建议收藏」

    今年年初入手了一部诺基亚新款WP8手机——Lumia620经典蓝,用起来感觉很不错,很流畅、界面很清新到现在,用了大概有大半年时间了,一直很好奇WP8中磁贴动态翻转的实现算法——使用过WP8手机的朋友都知道,这个功能很有3D的效果,看起来感觉很不错但是,它到底是如何实现的呢? 今儿,我就来和大家一起剖析一下它的实现细节WP8中磁贴动态翻转功能细节:(1)将当

  • java代码生成器,springboot代码生成器—增加更新,查询功能(持续更新)

    java代码生成器,springboot代码生成器—增加更新,查询功能(持续更新)时隔一周多,今天终于抽出时间来更新一波代码生成器,最近公司让我研究rpa,弄得焦头烂额的,话不多说,进入正题。之前有朋友让我讲一下代码生成器的原理,这篇博客就大体描述一下,以后慢慢细致讲解。双击codeMan.exe,众所周知,java做成exe程序很麻烦,在这里我是利用了.net的ikvm插件把jar包直接编译成了exe程序,这个启动界面会连接我的服务器,去检查版本更新,如果有更新就会在…

  • WIFI 简单的连接及常用密码破解

    WIFI所需权限及配置&amp;lt;uses-permissionandroid:name=&quot;android.permission.INTERNET&quot;/&amp;gt;&amp;lt;uses-permissionandroid:name=&quot;android.permission.CHANGE_WIFI_STATE&quot;/&amp;gt;&amp;lt;u

  • Oracle数据库学习之数据类型和表的操作「建议收藏」

    Oracle数据库学习之数据类型和表的操作「建议收藏」Oracle的数据类型:字符型数据类型charvarcharvarchar2long这几个字段之间的区别:char的长度是固定的,而varchar2的长度是可以变化的。也就是char(20)和varchar2(20)都存储”abc”,char是占用20个字符的,而varchar2是占用3个字符空间的。但是char的效率要高与varchar。这也就是平时说的以空间换效率。如果有一

  • idea永久激活码(破解版激活)

    idea永久激活码(破解版激活),https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号