SetToolKit是Kali Linux集成的一款社会工程学与攻击工具集

其中提供了一个非常方便的生成钓鱼网站的功能

钓鱼网站生成

  1. 如果之前生成过钓鱼网站,需要先清空之前克隆的缓存,否则会出现一些奇怪的毛病,缓存文件的路径在~/.set/web_clone目录下

  2. 在终端使用setoolkit启动工具,工具默认启动后需要升级,升级需要挂代理

  3. 选择1 Social-Engineering Attacks

    image-20210203104758843

  4. 选择2 Website Attack Vectors

    image-20210203104845075

  5. 选择3 Credential Harvester Attack Method

    image-20210203104920515

  6. 此时会询问钓鱼网站的生成方式 其中第一个是使用软件内置的模版,第二个是在线克隆目标网站,第三个则是本地导入HTML文件,建议使用2

    image-20210203105004335

  7. 首先询问

    set:webattack> IP address for the POST back in Harvester/Tabnabbing [10.211.55.20]:

    即钓鱼网站接收信息的IP地址,一般是Kali机器的内网或者公网IP地址

  8. 接下来询问的是要克隆的目标网站网址:

    Enter the url to clone:

    SetToolkit会自动克隆目标网页,并在用户提交自己的用户名和密码后跳转到真正的网站,避免用户发觉异常

  9. 接下来就会自动启动一个Web服务器,监听80端口

    Xnip2021-02-03_10-23-41

注:如果使用3,即本地文件导入,最好保证所有依赖的JS、CSS文件都在同一目录下,否则容易出现异常

实际案例演示

这里以克隆某学校的教务系统为例,在克隆URL中输入教务系统URL,系统自动克隆界面如下:

Xnip2021-02-03_10-41-01

点击登录按钮后,SetToolKit中收到用户名和密码,同时跳转到真正的教务系统

Xnip2021-02-03_10-41-56