此文章可学习钓鱼网站生成的技巧，切勿用于真实环境，仅用于学习，若产生一切后果，由产生者负责

一.简介

社会工程攻击，是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。

Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET)，它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。

SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。SET最常用的攻击方法有：用恶意附件对目标进行 E-mail 钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

二.setoolkit的使用

在kali终端输入setoolkit开始使用set

三.社会工程学攻击

选择1进入社会工程学模块

下面为各功能摸块的详细介绍.

鱼叉式⽹络钓鱼攻击:

鱼叉式⽹络钓鱼攻击菜单⽤于执⾏针对性的电⼦邮件攻击⼀个受害者。可以根据收获或发送的邮件发送多封电⼦邮件它给个⼈。也可以利⽤fileformat（例如PDF错误）并发送恶意攻击受害者，希望能够妥协

⽹页攻击:

⽹络攻击媒介被⽤于对受害者进⾏⽹络钓鱼攻击希望他们点击链接。⼀旦发⽣了各种各样的攻击单击。

传染媒介式（俗称⽊马）:

感染性的USB / DVD的创造者将为你开发⼀个基于Metasploit的有效载荷制作⼀个autorun.inf⽂件，⼀旦放置在USB将触发⾃动运⾏功能，并希望妥协系统。这种攻击媒介本质上是相对简单的，并且依靠将这些设备部署到物理系统。

建⽴payload和listener:

利⽤Metasploit创建有效负载和监听器，导出exe⽂件并⽣成⼀个监听器。你需要将exe⽂件传输到受害者机器上并执⾏，以使其正常⼯作。

邮件群发攻击:

群发邮件攻击将允许您发送多个电⼦邮件给受害者和⾃定义消息。这个选项不允许你创建有效载荷，所以通常是这样⽤于执⾏⼤规模⽹络钓鱼攻击

Arduino基础攻击:

基于Arduino的攻击⽮量利⽤基于Arduino的设备编程设备。你可以利⽤Teensy，它们具有内置存储，并且可以允许在物理机上执⾏远程代码。由于设备被注册为USB键盘，它将绕过任何⾃动运⾏禁⽤或端点保护系统

⽆线接⼊点攻击:

SET有⼀个称为⽆线攻击⽮量的攻击⽮量，它将产⽣⼀个访问指向您的计算机上的⽆线接⼝卡，并利⽤DNSSpoof将受害者浏览器请求重定向到SET中的攻击者向量。你可以利⽤这个例如通过创建访问点，然后利⽤Java Applet来进⾏攻击攻击⽮量或多重攻击⽮量，当受害者连接到访问点，去了⼀个⽹站，然后将连接到你的攻击机

⼆维码攻击:

QRCode攻击⽮量利⽤了Python本地⽣成QRCode的能⼒。扫描时，将重定向到SET攻击⽮量。这次攻击是将受害者重定向到SET，可⽤任何内置攻击向量的能⼒攻击他们

Powershell攻击:

完全是社会⼯程师⼯具包的新增加之⼀独⽴的SET交互式shell和RATTE，定制的独⽴的有效载荷内置到⼯具包中。这些有效载荷只能通过创建有效载荷来使⽤和Listener以及Java

SMS攻击:

这个模块只是⼀个全新的移动攻击平台的开始为更新版本的SET。TB-Security.com的⼈介绍了短信欺骗模块。这个模块将允许你欺骗你的电话号码并发送短信

选择2进入网页攻击模式

选择3进入钓鱼攻击模块

选择1进入自带的钓鱼web模板模块

选择2google钓鱼模板

接下来我们访问IP进入假的google

输入账号密码后，获取成功

原文始发于微信公众号（TOP网络安全）：一次简单的社会工程攻击-setoolkit