iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 13
1
Security

一起來霹踢系列 第 13

[鐵人修煉_13]-Social-Engineering(續?)實作了啦!

前一篇提到社交攻擊的各種方式,不知道大家是否有感覺,不做壞事的人,真的不知道壞人到底有多少招數可以使用,就像筆者的媽媽常說「唉哦! 我們市井小民,誰要對我們下手啦?」卻忘記家裡接到的詐騙電話也不少,幾個月前才有人打家裡電話說筆者做壞事要錢跑路,還好老媽不信~
廢話不多說,我們今天就使用 Kali 的Social-Engineering Toolkit (SET) 工具來實作釣魚攻擊,透過製作FB假站台,騙取使用者輸入帳號及密碼並回傳給我們。

流程大致說明如下:
https://ithelp.ithome.com.tw/upload/images/20190918/20119885a3DvgltX85.jpg

(1) 開啟Kali => Applications => Exploitation Tools => social engineering toolkit
https://ithelp.ithome.com.tw/upload/images/20190918/201198854W6bsxLBK4.jpg
(2) 開啟指令介面,會先檢查版本是否為最新版,如果需要使用最新功能,可以進行更新
https://ithelp.ithome.com.tw/upload/images/20190918/20119885EU4Tmpiwvy.jpg
(3) 選擇1 - Social-Engineering Attacks
https://ithelp.ithome.com.tw/upload/images/20190918/20119885CA5Vkt0dxJ.jpg
(4) 選擇2 - Website Attack Vectors
https://ithelp.ithome.com.tw/upload/images/20190918/20119885J4oT3uWn2U.jpg
(5) 選擇3 – Credential Harvester Attack Method
https://ithelp.ithome.com.tw/upload/images/20190918/201198857gvqMoO6JC.jpg
(6) 我們要假造一個FB的網站,但不自己製作而是將已存在的網站複製過來,所以選擇2 - Site Cloner
https://ithelp.ithome.com.tw/upload/images/20190918/20119885HU6Mm6DiwP.jpg
https://ithelp.ithome.com.tw/upload/images/20190918/20119885ONyIxlflw7.jpg
(7) 設定

A. 給IP位置即Kali’s IP
B. 要抄寫的網站為 www.facebook.com
C. 在Kali 開啟瀏覽器打 http://localhost
https://ithelp.ithome.com.tw/upload/images/20190918/20119885myajEoqtf3.jpg
(8) 抄寫中
https://ithelp.ithome.com.tw/upload/images/20190918/20119885eZc9c3GkGF.jpg
(9) 當 Windows (目標) 主機點選了假造的facebook連結後
測試用途,在Windows上直接點該IP位址會看到 FB的登入頁面,但其實是導到 SET 製造的假站台,在Kali上會同步看到點選該連結的使用者相關資訊,最終在使用者輸入帳號及密碼時,將該資訊也同步回到Kali顯示
https://ithelp.ithome.com.tw/upload/images/20190918/20119885njswVfVygX.jpg
https://ithelp.ithome.com.tw/upload/images/20190918/20119885oXkMMvqHPk.jpg
(10) 而使用者端在假FB站台輸入完帳密後,會被導向真正的FB站台再次輸入帳號密碼並正常登入FB。對使用者而言,就真的只會誤以為是剛剛是手殘敲錯了帳號或密碼,而導致需要重新登入。

以這種方式假造的網址其實很容易被辨識出來,所以也可以使用 Convert address
https://www.ipaddressguide.com/ 將IP並轉換成 ticket number的型式,讓人一眼無法辨識真假。但最終最終~還是會導回 Kali 的IP,所以利用修改 hosts file 或是 DNS Poisoning 也是很重要的技巧。


上一篇
[鐵人修煉_12]-社交工程(Social Engineering)
下一篇
[鐵人修煉_14]-持續情蒐-recon-ng
系列文
一起來霹踢30

尚未有邦友留言

立即登入留言