SET (Social Engineering Tools)
1、使用命令:setoolkit 会显示工具菜单
2、输入1 ,选择菜单中的Social-Engineering Attacks (社会工程学攻击) 会显示社会工程攻击的工具
3、输入2,选择Website Attack Vectors 网站(钓鱼)攻击向导 会列出所有的网站(钓鱼)攻击的方法供你选择
4、输入3,选择Credential Harvester Attack Method(密码收割机( ‵▽′)ψ )功能如其名一样。
5、输入2,选择Site Cloner,这时会提示 IP address for the POST back in Harvester/Tabnabbing[你的ip]:
6、如果用来测试只需要输入你的ip就好,自己输入。
7、输入完后会提示你输入需要克隆的页面,自己输入需要克隆的页面。
8、克隆完成后会询问是否开启Apache服务,选择开启就可以通过浏览器访问自己的ip看到克隆后的页面了。
提示:克隆的页面默认保存在/var/www/html/中,收割的密码也在这个目录下,默认为 harvester_date.txt
原理:克隆的页面修改了表单中的action属性,指向到了5、6设置的ip,并且将7中输入的网站克隆并保存到/var/www/html中,并且当用户输入完帐号密码后页面会自动跳转到真实网站中让用户难以察觉。