Как пользоваться Setoolkit kali linux

Обновлено: 22.11.2024

Вот малоизвестный факт: гораздо проще обмануть доверчивого пользователя и заставить его раскрыть свой пароль, чем взломать его. Люди становятся умнее с паролями. Кажется, что взломанные учетные записи всегда в новостях, поэтому люди соображают, добавляя цифры, символы и смешанный регистр. Конечно, вы все еще можете попробовать атаку по словарю или даже грубую силу; однако иногда это может быть так же просто, как отправить одно хитроумное электронное письмо идеальной цели.

Если бы вы могли запустить электронное письмо и оформить его так, чтобы казалось, что оно исходит из надежного источника, такого как Microsoft или коллега, это мгновенно повысит доверие и, следовательно, эффективность вашей атаки. Лучший вариант — скомпрометировать доверенный компьютер, а затем отправить вашей цели электронное письмо из его почтового ящика. Когда электронное письмо появится в его почтовом ящике, оно будет выглядеть подлинным, потому что на самом деле пришло из действительного источника: с помощью этого метода нет подделки, и он может быть очень и очень эффективным.

Заманивание кого-либо конфиденциальной информацией называется фишингом. Подумайте о том, чтобы обмануть рыбу приманкой. Точно так же и фишер относится к своим жертвам как к доверчивым рыбам. И если они попадутся на удочку, он унесет с собой ценную информацию, такую ​​как пароли и номера кредитных карт.

Но насколько сложно будет сделать что-то подобное?

С Kali Linux это слишком просто. На самом деле с набором инструментов социальной инженерии (SET) нужно просто указать и щелкнуть мышью.

Kali Linux делает атаку социальной инженерии такой же простой, как китайский заказ на вынос.

Но фишинг — не единственный инструмент в нашем арсенале.

Набор инструментов социальной инженерии также включает в себя инструмент для работы с веб-сайтами, который превращает ваш компьютер Kali в веб-сервер с набором эксплойтов, которые могут взломать практически любой браузер. Идея состоит в том, что мы отправляем нашей цели ссылку, которая перенаправляет их на наш веб-сайт, который автоматически загружает и запускает эксплойт в целевой системе. Вы даже можете клонировать действительный веб-сайт, чтобы цель была менее подозрительной. Это станет еще более эффективным, если вы изучите привычки браузера ваших жертв и скопируете один из их наиболее часто посещаемых сайтов.

SET позволяет вам делать все это и многое другое. Давайте взглянем на этот мощный набор инструментов.

Нажмите «Приложения» в левом верхнем углу Kali Linux, перейдите к разделу «Инструменты эксплуатации», выберите «Инструментарий социальной инженерии» и нажмите setoolkit.

Теперь следующая часть очень важна, и я должен подчеркнуть ее здесь. У меня к вам моральный вопрос:

Подумайте об этом.

Сам по себе нож морально нейтрален. У него нет возможности выбирать. Это неодушевленный предмет. Ножи не хороши и не плохи, но люди разные. В руках серийного убийцы нож — это плохо; и наоборот, в руках опытного хирурга нож хорош.

Нож — это просто инструмент. Его можно использовать во благо или во зло. Точно так же инструментарий социального инженера — это всего лишь инструмент. На самом деле он был разработан для целей тестирования на проникновение. Это когда компания нанимает объективную охранную фирму для проверки состояния безопасности организации. Это способ проверить наличие элементов управления безопасностью. Обычно фирма, занимающаяся пентестингом, получает одобрение руководства на проведение атак определенным образом. Объем работы узок, точен и преднамерен. Другими словами, тесты на проникновение — это доверенные специалисты по безопасности, которые помогают компьютерам оставаться в безопасности, пытаясь проникнуть в различные системы.

SET предназначен для тестирования на проникновение или для изучения того, как он работает в лабораторных условиях. Я настоятельно отговариваю вас от попыток использовать это во зло. Это того не стоит.

Так что читайте условия и принимайте решение. Я молюсь, чтобы это было правильно.

И теперь мы стоим на пороге эксплуатации.

Начнем с нажатия 1 и ввода.

Существует множество вариантов, таких как Powershell Attack Vectors, создание зараженных USB-накопителей (Infectious Media Creator), но давайте рассмотрим векторы атак на веб-сайты, чтобы вы могли понять, как это работает.

Давайте воспользуемся эксплойтом браузера Metasploit; вариант 2. Вы видите, как это работает до сих пор? Это так же просто, как выбирать номера в телефонном дереве.

Мы будем использовать общий веб-шаблон, но, как видите, при желании вы также можете клонировать веб-сайт.

Выберите вариант 1 — "Веб-шаблоны" и продолжайте работу.

В следующем запросе вас спросят, хотите ли вы использовать NAT/переадресацию портов. В этом примере атаки я предполагаю, что злоумышленник и жертва находятся в одной и той же подсети; таким образом, здесь нет необходимости использовать NAT.

В следующем вопросе вам будет задан IP-адрес вашего Kali box.

Мой адрес: 10.255.70.41.

Быстрый способ понять это — ввести:

После этого мы можем начать веселье.

В следующей части мы спрашиваем о веб-шаблоне. Это то, что загружается, чтобы отвлечь пользователя, пока эксплойт работает в фоновом режиме. Я выберу Java, чтобы было похоже, что загружается Java-апплет. Но на самом деле Java ничего не делает. Это всего лишь видимость, чтобы пользователь не заподозрил подозрений, пока эксплойт открывает удаленное соединение с его компьютером.

Теперь нам нужно выбрать наш эксплойт.

Возьмем Metasploit Browser Autopwn.

Хорошо, тогда выберите детали эксплойта. Я выберу Windows Reverse_TCP Meterpreter.

Выберите порт по умолчанию 443

а затем расслабьтесь и наблюдайте, как создается ваш новый сайт атаки.

Через несколько минут сервер запустится, и вы нажмете Enter, чтобы начать.

На самом деле это не так сложно, как кажется.

В базовом HTML есть тег band, который означает анкорный текст. Кроме того, есть атрибут href="". Если вы открыли почтовый клиент в режиме HTML, вы можете легко вставить локальный IP-адрес, а затем между тегами и вставить какой-нибудь ненавязчивый текст, например «Нажмите здесь, чтобы обновить» или «Срок действия вашего пароля электронной почты истек, нажмите здесь, чтобы сбросить».

Вот что произошло, когда я щелкнул ссылку на своем компьютере с Windows 8.1 и IE11.

Сколько пользователей решат, что с этой ошибкой что-то не так? Выглядит совершенно безобидно. Но мы знаем, что это не так.

Каждый раз, когда пользователь нажимает OK, снова появляется всплывающее окно Java, но за кулисами Kali Linux тайно открывает дополнительные сеансы TCP для жертвы.

Посмотрите, что получилось на моем Kali box.

Моя бедная машина с Windows 8.1 отвечает 15 эксплойтами.

На компьютере с Windows XP все еще хуже. Это доказательство того, почему никто никогда не должен запускать Windows XP. Некоторое время назад Microsoft обрезала шнур на Windows XP по уважительной причине. Любой, кто все еще использует Windows XP, готовит себя к катастрофе.

Если вы введете сеансы, вы увидите активные подключения к жертве, после чего вы сможете использовать любой из десятков инструментов в наборе инструментов Metasploit для компрометации ПК. Например, теперь, когда сеанс активен, с помощью нескольких команд вы можете регистрировать каждое нажатие клавиши пользователем и тайно похищать файлы без ведома пользователя.

Итог

Комплект Social Engineering Toolkit от Kali Linux позволяет легко управлять компьютером, выбрав несколько опций в меню. Для внедрения не требуется никаких навыков, и поэтому для руководителей крайне важно вооружить своих сотрудников знаниями, которые им необходимы, чтобы обойти эти угрозы. Обучение по вопросам безопасности может помочь, но суть в том, что менеджерам необходимо поговорить со своими сотрудниками, чтобы они могли быстро выявлять попытки фишинга.

Набор инструментов социальной инженерии – это бесплатный инструмент с открытым исходным кодом, который используется для атак социальной инженерии, таких как фишинг, подделка телефонных номеров, отправка SMS и т. д. Это бесплатный инструмент, доступный в Kali Linux, или его можно загрузить и установить напрямую. с Гитхаба. Инструментарий социальной инженерии разработан и разработан программистом по имени Дэйв Кеннеди. Этот инструмент используется исследователями безопасности и тестировщиками на проникновение по всему миру для проверки недостатков кибербезопасности в системах. Набор инструментов социальной инженерии предназначен для выполнения атакующих методов на их машинах. Этот набор инструментов также предлагает векторные атаки на веб-сайты или пользовательские векторные атаки, с помощью которых вы можете клонировать любой веб-сайт и выполнять фишинговые атаки. Существуют различные функции инструментария социальной инженерии, некоторые из них приведены ниже.

Возможности инструментария социальной инженерии:

• SET бесплатен и имеет открытый исходный код.
• SET уже установлен в вашем Kali Linux, однако вы также можете загрузить и установить его с Github.
• SET является переносимым, что означает, что вы можете легко изменить вектор атаки.
• SET — это многоплатформенный инструмент: он может работать в Linux, Unix и Windows.
• SET поддерживает интеграцию со сторонними модулями.
• SET включает доступ к платформе ускоренного тестирования на проникновение.
• SET предоставляет множество векторов атак, таких как фишинговые атаки, атаки на веб-сайты, генератор инфекционных носителей и т. д.

Использование инструментов социальной инженерии:

Это были некоторые векторы атак, которые вы можете выполнить с помощью Social Engineering Toolkit. Когда вы запустите SET, вы почувствуете себя забавно, потому что использовать SET очень просто, теперь мы увидим, как вы можете установить Social Engineering Toolkit и как вы можете его использовать. для фишинговой атаки.

Установка набора инструментов социальной инженерии:

Шаг 1. Откройте терминал Kali Linux и перейдите на рабочий стол

Шаг 2: На данный момент вы находитесь на рабочем столе, поэтому здесь вам нужно создать новый каталог с именем SEToolkit, используя следующую команду.

Шаг 3. Теперь, когда вы находитесь в каталоге Desktop, вы создали каталог SEToolkit, поэтому перейдите в каталог SEToolkit с помощью следующей команды.

Шаг 4. Теперь вы находитесь в каталоге SEToolkit. Здесь вам нужно клонировать SEToolkit из GitHub, чтобы вы могли его использовать.

Шаг 5. Набор инструментов социальной инженерии был загружен в ваш каталог, теперь вам нужно перейти во внутренний каталог набора инструментов социальной инженерии с помощью следующей команды.

Шаг 6. Поздравляем, вы наконец-то загрузили инструментарий социальной инженерии в свой каталог SEToolkit. Теперь пришло время установить требования с помощью следующей команды.

Шаг 7. Все требования загружены в ваш набор инструментов.Теперь пришло время установить требования, которые вы скачали

Шаг 8: Наконец, все процессы установки завершены, теперь пришло время запустить инструментарий социальной инженерии. Чтобы запустить SEToolkit, введите следующую команду.

Шаг 9: На этом шаге setoolkit спросит вас (y) или (n). Введите y, и ваш набор инструментов социальной инженерии начнет работать.

Шаг 10. Теперь ваш setoolkit загружен в вашу систему, теперь пришло время его использовать. Теперь вам нужно выбрать вариант из следующих вариантов. Здесь мы выбираем вариант 2

Векторы атак на веб-сайты:

Шаг 11. Теперь мы собираемся настроить фишинговую страницу, поэтому здесь мы выберем вариант 3, который представляет собой метод атаки по сбору учетных данных.

Шаг 12. Теперь, когда мы создаем фишинговую страницу, здесь мы выберем вариант 1, то есть веб-шаблоны.

Шаг 13. В это время инструмент социальной инженерии создаст фишинговую страницу на нашем локальном хосте.

Шаг 14. Создайте фишинговую страницу Google, выберите вариант 2, после чего фишинговая страница будет создана на вашем локальном хосте.

Шаг 15. Инструментарий социальной инженерии создает фишинговую страницу Google.

Как вы можете видеть, наш локальный хост означает, что на нашем IP-адресе setoolkit создал фишинговую страницу Google. Так работает набор инструментов социальной инженерии. Ваша фишинговая страница будет создана с помощью инструментов социальной инженерии. Как только жертва введет пароль id в поля, пароль id будет показан на вашем терминале, где работает SET.

Люди — лучший источник и конечная точка уязвимостей безопасности. Социальная инженерия — это своего рода атака, нацеленная на поведение человека, манипулируя его доверием и играя с ним с целью получения конфиденциальной информации, такой как банковский счет, социальные сети, электронная почта и даже доступ к целевому компьютеру. Ни одна система не является безопасной, потому что система создана людьми. Наиболее распространенным вектором атаки с использованием атак социальной инженерии является распространение фишинга через рассылку спама по электронной почте. Они нацелены на жертву, у которой есть финансовый счет, например данные банковского счета или кредитной карты.

Атаки социальной инженерии не взламывают систему напрямую, вместо этого используется социальное взаимодействие людей, и злоумышленник имеет дело непосредственно с жертвой.

Вы помните Кевина Митника? Легенда социальной инженерии старой эпохи. В большинстве своих методов атаки он обманывал жертв, заставляя их поверить в то, что он обладает системными полномочиями. Возможно, вы видели его демонстрационное видео «Атака социальной инженерии» на YouTube. Смотри!

В этом посте я покажу вам простой сценарий того, как реализовать атаку социальной инженерии в повседневной жизни. Это так просто, просто внимательно следуйте инструкциям. Я объясню сценарий ясно.

Атака с использованием социальной инженерии для получения доступа к электронной почте

Цель: получение информации об учетных записях электронной почты

Злоумышленник: я

Цель: мой друг. (Правда? да)

Устройство: компьютер или ноутбук с Kali Linux. И мой мобильный телефон!

Среда: офис (на работе)

Инструмент: набор инструментов социальной инженерии (SET)

Итак, исходя из приведенного выше сценария, вы можете представить, что нам даже не нужно устройство жертвы, я использовал свой ноутбук и свой телефон. Мне нужна только его голова и доверие, и глупость тоже! Потому что, знаете ли, человеческую глупость не залатать, серьезно!

В этом случае мы сначала настроим фишинговую страницу входа в учетную запись Gmail в моем Kali Linux и используем мой телефон в качестве триггерного устройства. Почему я использовал свой телефон? Я объясню ниже, позже.

К счастью, мы не собираемся устанавливать какие-либо инструменты, на нашем компьютере с Kali Linux предустановлен SET (инструментарий социальной инженерии). Это все, что нам нужно. Ах да, если вы не знаете, что такое SET, я расскажу вам об этом наборе инструментов.

Хорошо, этого достаточно, давайте попрактикуемся. Прежде чем мы проведем атаку социальной инженерии, нам нужно сначала настроить нашу фишинговую страницу.Вот я сижу за своим столом, мой компьютер (под управлением Kali Linux) подключен к Интернету той же сетью Wi-Fi, что и мой мобильный телефон (я использую Android).

ШАГ 1. НАСТРОЙКА ФИЗИНГ-СТРАНИЦЫ

Setoolkit использует интерфейс командной строки, поэтому не ожидайте, что здесь все будет «щелкать-щелкать». Откройте терминал и введите:

Вы увидите страницу приветствия вверху и параметры атаки внизу, вы должны увидеть что-то вроде этого.

Да, конечно, мы будем проводить атаки социальной инженерии, поэтому выберите номер 1 и нажмите ENTER.

После этого вам будут показаны следующие варианты, и выберите номер 2. Векторы атак на веб-сайты. Нажмите ВВОД.

Далее мы выбираем номер 3. Метод атаки Credential Harvester. Нажмите Enter.

Дополнительные параметры более узкие, SET имеет предварительно отформатированные фишинговые страницы популярных веб-сайтов, таких как Google, Yahoo, Twitter и Facebook. Теперь выберите номер 1. Веб-шаблоны.

Поскольку мой ПК с Kali Linux и мой мобильный телефон находились в одной сети Wi-Fi, поэтому просто введите локальный IP-адрес злоумышленника (моего ПК). И нажмите ВВОД.

PS: чтобы проверить IP-адрес вашего устройства, введите «ifconfig»

Хорошо, мы установили наш метод и IP-адрес слушателя. В этих опциях перечислены предопределенные шаблоны веб-фишинга, как я упоминал выше. Поскольку мы нацелились на страницу аккаунта Google, поэтому выбираем номер 2. Google. Нажмите ВВОД.

Теперь SET запускает мой веб-сервер Kali Linux на порту 80 с поддельной страницей входа в учетную запись Google. Наша установка завершена. Теперь я готов войти в комнату друзей, чтобы войти на эту фишинговую страницу с помощью мобильного телефона.

ШАГ 2. ОХОТА НА ЖЕРТВ

Почему я использую мобильный телефон (Android)? Давайте посмотрим, как страница отображается в моем встроенном браузере Android. Итак, я захожу на свой веб-сервер Kali Linux по адресу 192.168.43.99 в браузере. А вот и страница:

Видишь? Он выглядит настолько реальным, что на нем нет никаких проблем с безопасностью. Строка URL-адреса, показывающая заголовок вместо самого URL-адреса. Мы знаем, что глупцы узнают это как исходную страницу Google.

Итак, я беру с собой мобильный телефон, иду к своему другу и разговариваю с ним, как будто мне не удалось войти в Google, и действую, если мне интересно, произошел ли сбой или ошибка Google. Я даю свой телефон и прошу его попробовать войти, используя его учетную запись. Он не верит моим словам и сразу начинает вводить данные своего аккаунта, как будто ничего страшного здесь не произойдет. Ха-ха.

Он уже набрал все необходимые формы и разрешил мне нажать кнопку "Войти". Я нажимаю на кнопку… Сейчас идет загрузка… А потом мы получили вот такую ​​главную страницу поисковой системы Google.

PS: как только жертва нажмет кнопку «Войти», она отправит информацию для аутентификации на наш прослушивающий компьютер и будет зарегистрирована.

Ничего не происходит, говорю я ему, кнопка «Войти» все еще там, хотя вы не смогли войти в систему. И тут я снова открываю фашинговую страницу, а к нам заходит очередной друг этого дурака. Нет, у нас есть еще одна жертва.

Пока я не прерву разговор, я вернусь к своему столу и проверю журнал своего SET. И вот мы получили,

Гокча… я тебя поймаю.

В заключение

Среда информационной безопасности сильно изменилась за последние годы. Теперь, несмотря на то, что внутри каждой организации развернуты политики безопасности, соответствие требованиям и элементы безопасности инфраструктуры, такие как брандмауэры, IDS/IPS, прокси-серверы и приманки, мы слышим новости о том, как хакеры взламывают защищенные объекты правительства или
частные организации из-за человеческого фактора, вовлеченного в каждую деятельность.

Как правило, сотрудники не знают об уловках и методах, используемых социальными инженерами, в которых они могут быть использованы в качестве посредников для получения ценной информации, такой как данные кредитной карты или корпоративные тайны.Безопасность всей организации может быть поставлена ​​под угрозу, если сотрудник посещает вредоносный веб-сайт, отвечает на телефонный звонок социального инженера или нажимает на вредоносную ссылку, полученную им в личном или корпоративном электронном письме.

Наличие лучшего ноутбука для Kali Linux поможет вам максимально эффективно использовать эту операционную систему.

Сегодня мы покажем вам способ, с помощью которого вы можете легко отправить поддельное электронное письмо с помощью одного из самых популярных инструментов под названием SET (набор инструментов для социальной инженерии).

Набор инструментов социальной инженерии (SET) является продуктом TrustedSec. SET — это набор настраиваемых инструментов на основе Python, созданный Дэвидом Кеннеди (ReL1K) и командой разработчиков SET, в которую входят Дж. Р. ДеПре (pr1me), Джои Ферр (j0fer) и Томас Верт.

SET – это управляемая с помощью меню система атак, которая в основном концентрируется на атаках на человеческий фактор безопасности. Благодаря большому количеству доступных атак этот набор инструментов абсолютно необходим для тестирования на проникновение.

SET предустановлен в Kali Linux. Вы можете просто вызвать его через командную строку с помощью команды «setoolkit».

После того как пользователь щелкнет набор инструментов SET, он откроется с параметрами, показанными на следующем снимке экрана:

Выберите 1) Social-Engineering Attacks, чтобы получить список возможных атак, которые можно выполнить.

Вы можете выбрать атаки, которые хотите выполнить, из меню, которое выглядит следующим образом:

• 1 Вектор направленного фишинга
• 2 вектора атак на веб-сайты
• 3 Генератор заразных носителей
• 4. Создание полезной нагрузки и прослушивателя.
• 5 Атака массовых рассылок
• 6. Вектор атаки на базе Arduino
• 7 вектор атаки на беспроводную точку доступа
• 8 Вектор атаки генератора QRCode
• 9 векторов атак Powershell
• 10 векторов атаки с подменой SMS
• 11 сторонних модулей
• 99 Вернуться в главное меню

Мы начнем с атаки массовой рассылки. Введите 5, чтобы перейти к следующему меню.

Для этого примера в списке мы рассмотрим первый вариант, Атака по электронной почте на один адрес электронной почты.

Теперь вам нужно заполнить все следующие данные, как показано ниже:

• Отправить письмо по адресу:
• От адреса:
• Имя ОТ, которое увидит пользователь:
• Имя пользователя для открытой ретрансляции:
• Пароль для open-relay:
• Адрес почтового SMTP-сервера:
• Номер порта для SMTP-сервера:
• Отметить это сообщение как высокоприоритетное?:
• Вы хотите прикрепить файл:
• Вы хотите прикрепить встроенный файл:
• Тема письма:
• Отправить сообщение в формате html или просто:
• Введите текст сообщения, по завершении введите END:

Пошаговые руководства по взлому беспроводной сети, kali linux, metasploit, этичному взлому, советам и рекомендациям по SEO, анализу и сканированию вредоносных программ.

Статьи по теме

SEToolkit — атака сборщика учетных данных [учебник]

В качестве тестировщика на проникновение будут возникать ситуации, когда требования клиента будут заключаться в проведении атак социальной инженерии против своих сотрудников, чтобы проверить, соблюдают ли они политики и меры безопасности компании. В конце концов, если злоумышленнику не удастся получить доступ к системе, он может попытаться […]

Pythem — многоцелевая платформа для пентестов 2017

Pythem — это многоцелевая платформа для пентестов, написанная на Python. Он был разработан для использования исследователями безопасности и профессионалами в области безопасности. Инструмент предназначен для использования только для действий в рамках закона. Особенности — Работает только в ОС GNU/Linux. На основе Python Простота установки и использования Поддерживаемые атаки — спуфинг ARP — […]

Примерно год назад Mozilla добавила в браузер Firefox новую функцию "Captive Portal", чтобы повысить удобство использования при подключении к бесплатным порталам Wi-Fi. Функция Captive Portal охватывает обнаружение и реализацию дескрипторов для Captive Portal в браузере Firefox. Ожидается, что Firefox справится с обработкой страницы авторизованного портала […]

Одна мысль о «Отправить поддельную почту с помощью SETOOLKIT [Kali Linux]»

Здравствуйте, сэр, когда я пытаюсь атаковать массовую рассылку, я не получаю возможность для открытого ретрансляции войти в настройки smtp2go

Читайте также:

  
• Почему в кс го фпс не поднимается больше 30 на windows 10
  
• Как обновить Astra Linux
  
• Устранение неполадок в Windows 10
  
• Как полностью очистить Windows 7
  
• Сетевой пароль в windows 7 как узнать