Linux-社会工程学
文章目录
-
🌇前言
-
1、社会工程学的概念
-
2、Kali Linux 2中的社会工程学工具包
-
-
2.1 社会工程学(SET)启动的二种方法:
-
- (1)菜单
- (2)命令行
-
2.2 社会工程学(SET)的主菜单:
-
2.3 “社会工程学攻击”菜单:
-
-
3 、用户名和密码的窃取
-
-
3.1 信用盗取攻击方法
-
3.2 输入用来接收窃取到的用户名和密码的IP地址(Kali本机)
-
3.3 输入一个用来克隆的网址
-
3.4 在靶机(32位Windows7)中访问这个伪造的网站
-
- (1)输入Kali的IP
- (2)填写用户名和密码(靶机)
- (3)查看浏览器是否跳转?
-
3.5 返回Kali虚拟机,看到哪些信息?
-
-
4、自动播放文件攻击
-
- 4.1 选择Met执行模块
- 4.2 选择攻击载荷
- 4.3 设置相关参数
- 4.4 生成的攻击载荷
- 4.5 创建一个监听器
- 4.6 将/root/.set/autorun/目录下的两个文件复制到外部,在tmp下创建一个test目录
- 4.7 将test目录复制到32位靶机的D盘中,执行payload.exe
- 4.8 在kali中观察会话是否建立
-
5、学习小结
-
6、心得
-
7、🌆总结
🌇前言
社会工程学是一种不法手段,但随着人们对信息的依赖程度越来越高,社会工程师对我们的攻击也越来越多样化和普遍化。这里我们对Linux操作系统和Windows靶机进行实验与操作。
1、社会工程学的概念
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。它还是指利用心理学和社会学等相关知识和技能,通过一系列技巧和手段,来影响、控制、欺骗和操纵人们的行为,以达到达到特定目的的一种技术、技巧和行为方式。社会工程学可以应用在多个领域,例如市场营销、政治选举、网络安全等。在网络安全方面,社会工程学被用于测试企业的安全意识和漏洞,并且是一种获取敏感信息的非技术性攻击手段,常用于网络钓鱼等攻击中。
2、Kali Linux 2中的社会工程学工具包
2.1 社会工程学(SET)启动的二种方法:
(1)菜单
(2)命令行
在终端输入运行:setoolkit
//在终端输入运行
setoolkit
2.2 社会工程学(SET)的主菜单:
(1)Social-Engineering Attacks(社会工程学攻击)
(2)Penetration Testing (Fast-Track)(渗透测试)
(3)Third Party Modules(第三方模块)
(4)Update the Social-Engineer Toolkit(升级软件)
(5)Update SET configuration(升级SET配置)
(6)Help, Credits, and About(帮助)
(99)Exit the Social-Engineer Toolkit(退出)
2.3 “社会工程学攻击”菜单:
(1)Spear-Phishing Attack Vectors(鱼叉式钓鱼攻击向量)
(2)Website Attack Vectors(网站攻击向量)
(3)Infectious Media Generator(媒介感染攻击)
(4)Create a Payload and Listener (创建Payload和Listener)
(5)Mass Mailer Attack(海量邮件攻击)
(6)Arduino-Based Attack Vector (基于Arduino的攻击向量)
(7)Wireless Access Point Attack Vector(无线热点攻击向量)
(8)QRCode Generator Attack Vectors(二维码攻击向量)
(9)Powershell Attack Vector(==powershell ==攻击向量)
(10)Third Party Modules(第三方模块)
(99)Return back to the main menu(返回主菜单)
3 、用户名和密码的窃取
测试目标单位的用户是否会严格遵守管理协议,是否对来历不明的地址做了充分防御。
菜单: Social-Engineering Attacks / Website Attack Vectors/Credential Harvester Attack Method
实验环境:填写如下IP地址
Kali 2主机IP:192.168.30.137
靶机(32位Windows7)的IP:192.168.30.142
3.1 信用盗取攻击方法
(1)选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)–Credential Harvester Attack Method(信用盗取攻击方法)
(2)选择创建伪造网站的方式
常见3种方式:
Web Templates(网站模块)
Site Cloner(网站克隆)---- 选择这种方式!
Custom Import(自定义导入)
3.2 输入用来接收窃取到的用户名和密码的IP地址(Kali本机)
3.3 输入一个用来克隆的网址
(IBM的测试网站:www.testfire.net/bank/login.aspx)
结果:成功启动了伪造好的网站服务器
3.4 在靶机(32位Windows7)中访问这个伪造的网站
(1)输入Kali的IP
(2)填写用户名和密码(靶机)
(填写用户名和密码之后,单击“Login”提交)
(3)查看浏览器是否跳转?
3.5 返回Kali虚拟机,看到哪些信息?
4、自动播放文件攻击
注:参照9.3格式,将步骤、结果截图并作必要的说明。
菜单: Social-Engineering Attacks / Infectious Media Generator
实验环境:填写如下IP地址
Kali 2主机IP: 192.168.30.137
靶机 32 的IP: 192.168.30.142
4.1 选择Met执行模块
4.2 选择攻击载荷
4.3 设置相关参数
4.4 生成的攻击载荷
4.5 创建一个监听器
4.6 将/root/.set/autorun/目录下的两个文件复制到外部,在tmp下创建一个test目录
cp /root/.set/payload.exe /tmp/test/
cp /root/.set/autorun/* /tmp/test/4.7 将test目录复制到32位靶机的D盘中,执行payload.exe
4.8 在kali中观察会话是否建立
5、学习小结
社会工程学是一种攻击技术,通过利用人的心理弱点和社交工具来获取敏感信息或者进行非法活动。社会工程学的学习需要掌握一些基本知识和技能,下面是我的一些学习心得:
了解基本概念和术语:学习社会工程学需要了解一些基本术语,例如“鱼叉式攻击”、“伪造电子邮件”、“社交工程”等。
学习攻击技巧:学习社会工程学需要了解攻击者常用的技巧,例如通过诱骗、恐吓、假冒身份等方式获取敏感信息。
掌握相关工具和技能:学习社会工程学需要掌握一些相关的技能和工具,例如社交工具、密码猜测、网络嗅探等。
了解防范策略:学习社会工程学的同时需要了解防范策略,例如提高警惕、加强安全意识、定期更新密码等。
注意法律问题:学习社会工程学需要注意法律问题,不得利用所学技术从事非法活动,否则将面临法律责任。
学习社会工程学需要全面的知识储备和技能掌握,同时需注意道德和法律问题。
6、心得
社会工程学是一项涉及到利用社会工具和心理学原理来欺骗和操纵人的技巧。在学习社会工程学的过程中,我发现以下几个要点非常重要:
心理学基础知识:学习社会工程学需要一些心理学基础知识,例如人类的行为模式、认知偏差等。这些知识能够帮助我们更好地理解人们行为的根本原因,从而有助于我们更好地利用社会工具来欺骗和操纵人。
社交技巧:社会工程学是一项涉及到社交技巧的学问。在学习社会工程学时,我们需要掌握一些社交技巧,例如沟通技巧、表情、语言等。这些技巧能够帮助我们更好地影响他人的思维和行为。
伦理和道德意识:学习社会工程学时,我们需要时刻保持伦理和道德意识。社会工程学的目的是影响他人的行为,而不是利用社会工具伤害他们。因此,我们需要时刻保持谨慎和尊重他人的态度。
实践机会:学习社会工程学需要不断地实践。通过实践,我们能够更好地了解社会工程学的技巧和原理,并且不断提高我们的技能。因此,我们需要寻找适当的实践机会,例如模拟场景、真实环境等。
总之,在学习社会工程学时,我们需要掌握一定的心理学知识和社交技巧,时刻保持伦理和道德意识,并且不断地通过实践提高自己的技能。
7、🌆总结
以上就是社会工程学的全部内容了,本文主要是学习kali linux的相关操作,关于文件操作底层实现及重定向原理,将会在之后的文章讲解
如果你觉得本文写的还不错的话,期待留下一个小小的赞👍
如果本文有不足或错误的地方,随时欢迎指出,我会在第一时间改正