什么是SET
社会工程学工具包(SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
SET的安装
我们可以在kali上用git克隆下来命名为set
git clone https://github.com/trustedsec/social-engineer-toolkit.git set
SET的使用
我们打开SET的主菜单
root@root:~/桌面/set# ./setoolkit
然后选择第一个菜单栏(社会工程攻击模块)
然后我们选择钓鱼攻击模块
接下来我们选择Perform a Mass Email Attack 大规模电子邮件攻击模块
然后我这里选择了一个Adobe PDF 里面的Collab.collectEmaillnfo漏洞,当目标机器存在Collab.collectEmaillnfo的堆溢出漏洞时,并且目标机器打开了邮件,那么我们将会夺取到目标机器的shell。
然后我这里选择一个Meterpreter的反向tcp连接
然后配置好反向连接ip和反弹端口
选择1使用默认的模板,当然师傅们也可以选择2生成一个更具有迷惑性的pdf文件
单一的攻击方式
用一个模板
选择7这个模板
打码处填写的是目标的邮箱,然后我们有两个选项
1是用谷歌的gmail发送邮件
2是我们自己服务器发送邮件
这里我选择的是2,师傅们也可以自行选择
接下来填写自己的邮箱和密码即可
已经成功发送邮件
这个时候,目标机器上的Abobe Acrobat版本存在此漏洞,且目标机器上运行了我们所发送的邮件,那么我们将获取到目标的shell。
