观前提醒,本文仅作学习之用,欢迎各路神仙评论区讨论交流,劝诸君熟读网络安全法,网络不是法外之地,严禁做任何违法,损害国家利益的事情。我们应该用自己所学去保护我们的祖国!
背景知识
1.内网穿透
引用一下百度对相关知识的解释。
看这些概念确实有些费力,,,那
简单来说,我们今天要做的就是利用kali的工具生成一个钓鱼网站(可以在后台获取用户输入的用户名密码等),并,将这个内网网站,映射到公网,让所有人都能访问的到
2.Kali inux
Kali Linux是一个高级渗透测试和安全审计Linux发行版。
作为使用者,我简单的把它理解为,一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用。也可称之为平台或者框架。
作为Linux发行版,Kali Linux是在BackTrack Linux的基础上,遵循Debian开发标准,进行了完全重建。并且设计成单用户登录,root权限,默认禁用网络服务。
环境准备
1.kali linux 2021
这里我选择使用最新版kali,其他版本也可~~但是setoolKit亲测版本过低时可棱会报错~所以尽量使用新版吧。而且不知道什么原因感觉新版更香一点~~~
链接:https://pan.baidu.com/s/1V0YvPd7bZMOqrN47_e65fA
提取码:sljn
注意:
1.2021版本的kaili默认创建的是非root权限的用户
,
所以在之后的操作中可能权限不太够。
这里大家可以根据
这篇博客:
https://blog.csdn.net/weixin_38212672/article/details/115740112
自行配置一下root账户以及密码,没什么坑。
2.老生常谈的拖拽文件问题
,
如果确认自己确实装好了vm-tools,但是提权到root之后又无法拖拽文件了。
可以根据
这
篇博客解
决一下。
https://blog.csdn.net/m0_52367015/article/details/115103360
----------------------------------------------------OK---------------------------------
这两个问题
亲测都有效
的。还有就是那个那个,,开学校校园网一般是桥接连不上网的哈,改Nat或者开热点桥接。
好了,到这一步,基本上kali就算起起来了~
2.花生壳
花生壳的官网链接:
https://hsk.oray.com/
下载注册即可,默认送两个映射~
我在做的时候是手机端与PC端都下了,他好像是要扫码登录什么的,当时嫌麻烦就都下了
到后面生成http协议的域名得6块(买一年送九十八年哈哈哈哈哈给我笑yue了)
这里也有一
款免费的但是没亲自用过大家感兴趣的可以自行使用(感谢鹏师傅)
工具介绍&使用
1.setoolKit
从这个工具摆放的位置就能够很明显看出他的属性了--社工!
简单了解一下setoolKit攻击基本模块:
https://www.cnblogs.com/itholidaycn/p/6391484.html
我们这次当然就是使用钓鱼网站攻击了~
前置要求:
~在进行不同攻击前一定要确保将前一次监听完全退出!(Crtl+C一直退到最开始)
文中有退出不彻底的后果嘻嘻嘻
~搞清楚自己kali的ip(ifconfig命令)
begin.
1. Web Templates
在第一个练习我会介绍使用setoolKit直到找到本次练习的步骤,后面因步骤相同就不再赘述
首先打开setoolKit,成功界面是这样的
选择1 社工
选择2 网站攻击
选择3 钓鱼网站攻击
这就是我们今天要针对set钓鱼,进行的三个简单使用练习
选择1 固定网站模板
这里不输入的话默认就是你kali的ip,直接回车
在这里我选择Google模板做演示,选择2
即可在kali端开启监听!
此时kali的IP就可以被访问
输入用户名密码,点击登录
网站自动跳转至google