社工钓鱼之钓鱼网站

Al1ex

发布于 2022-06-23 15:54:11

2.3K0

文章被收录于专栏：网络安全攻防网络安全攻防

文章前言

在社工钓鱼过程中，网站钓鱼是一种较为常见的钓鱼方式，比较常见的思路有以下几种：

第一种：通过购买服务器以及域名自我架设钓鱼网站，之后投放钓鱼网站页面给受害者并诱导其进行认证来窃取用户凭证，更有甚者可以在获取到网站的源码的情况下克隆一个类似的网站，窃取用户的资产、实名认证信息等，当然这种更加适用于有攻击团队，例如：APT组织
第二种：通过克隆目标网站的登录认证页面，之后通过短连接的方式或者直接以链接(Link)的方式发送给受害者用户使其进行访问认证，从而窃取登录认证凭据信息，用户登录之后往往会重定向到正常的登录页面使其二次登录，大多数情况下用户都会以为自己输入了错误的密码或者将多个站点的密码混淆了，而不会过于纠结，从而二次登录正常的网站实现认证
第三种：通过结合DNS欺骗的方式在内网中实施钓鱼攻击

上面的第一种思路说白了就是在第二种思路的基础之上加上了域名伪造以及网站源码，第一种相较于第二种更加逼真，而且更加适合投入实战中使用，第二种对于有安全意识的人员来说已然不奏效，本篇文章将主要基于第二种思路进行一系列的演示~

钓鱼实践

Google钓鱼

实验说明

在这里我们的目的是通过钓鱼的方式来窃取用户的Google登录凭证信息，攻击者可以通过setookit来完成一系列的钓鱼操作，其中关于网站IP的隐藏方式可以通过短连接的方式来进行欺骗

实验步骤

Step 1：启动Setookit

 Select from the menu:

   1) Social-Engineering Attacks            //社会工程学攻击
   2) Penetration Testing (Fast-Track)          //快速追踪测试
   3) Third Party Modules                   //三方模块
   4) Update the Social-Engineer Toolkit         //更新软件
   5) Update SET configuration              //更新配置
   6) Help, Credits, and About              //帮助

  99) Exit the Social-Engineer Toolkit           //退出

Step 2：选择"Social-Engineering Attacks"

 Select from the menu:

   1) Spear-Phishing Attack Vectors          //鱼叉式网络钓鱼
   2) Website Attack Vectors            //网页攻击
   3) Infectious Media Generator          //传染媒介攻击（木马）
   4) Create a Payload and Listener          //建立payload和listener
   5) Mass Mailer Attack              //邮件群发攻击
   6) Arduino-Based Attack Vector          //Arduino基础攻击
   7) Wireless Access Point Attack Vector         //无线接入点攻击
   8) QRCode Generator Attack Vector        //二维码攻击
   9) Powershell Attack Vectors            //Powershell攻击
  10) Third Party Modules              //第三方模块
  
  99) Return back to the main menu.          //返回上级

Step 3：选择"Website Attack Vectors"

  1) Java Applet Attack Method              //Java Applet攻击 
  2) Metasploit Browser Exploit Method          //Metasploit浏览器漏洞攻击
  3) Credential Harvester Attack Method          //钓鱼网站攻击
  4) Tabnabbing Attack Method                   //标签钓鱼攻击
  5) Web Jacking Attack Method              //网站jacking攻击
  6) Multi-Attack Web Method              //多种网站攻击
  7) HTA Attack Method                  //HTA攻击模式

 99) Return to Main Menu                //返回上级

Step 4：选择"Credential Harvester Attack Method"

   1) Web Templates            //网站模板        
   2) Site Cloner               //克隆网站
   3) Custom Import            //自定义的网站

  99) Return to Webattack Menu

Step 5：选择"Web Templates"