setoolkit进行钓鱼攻击

此实验仅用于学习，禁止违法目的~

setoolkit，即社会工程学工具集Social-Engineer Toolkit，该工具可用来产生钓鱼网站，在kali上可直接使用，github上也有，下载链接 https://github.com/trustedsec/social-engineer-toolkit/set/。下面就是本次学习的记录了。

首先打开kali终端，输入setoolkit，就会出现下面


选项菜单：

1、社会工程学攻击
2、快速追踪测试
3、第三方模块
4、升级软件
5、升级配置
6、帮助
99、退出

选1

又是选项，

1、鱼叉式网络钓鱼攻击
2、网页攻击
3、传染媒介式（俗称木马）
4、建立payloaad和listener
5、邮件群发攻击（夹杂木马啊payload的玩意发给你）
6、Arduino基础攻击
7、无线接入点攻击
8、二维码攻击（我喜欢）
9、Powershell攻击
10、第三反模块
99、返回上级

选2

1、java applet攻击（网页弹窗那种）
2、Metasploit 浏览器漏洞攻击
3、钓鱼网站攻击
4、标签钓鱼攻击
5、网站jacking攻击（这个真心不明白，好像也和java的攻击方式有些相同）
6、多种网站攻击方式
7、全屏幕攻击（不明所以的玩意，只能够对谷歌邮箱和脸书用）
99、返回上级

很明显，选3

之后可以选择设置1、网站模版，2、设置克隆网站，3、自己设计的网站

选择2.克隆网站，输入本机ip，就是[ ]里面的（也可以不输），回车，然后输入要克隆的网站url。
我们需要去找一个登录网站，

随便找了一个https://passport.ustc.edu.cn/login?service=https%3A%2F%2Fjw.ustc.edu.cn%2Fucas-sso%2Flogin，回车可以发现网站正在克隆，直到出现下面的就是克隆成功了。

浏览器中输入kali的ip就可以访问了。

可以说和原来的几乎一样了，当然仔细看还是有差别的。一些CSS样式没有克隆下来。下面是原网站：

在钓鱼网站中输入账号和密码，提交之后在控制台就可以看到输入的信息了，网站也会返回到原来被克隆的网站，不易被人发现。

还有选择网站模板的方法可参考https://www.freebuf.com/sectool/73409.html

注意事项：

1、使用网站克隆的方式原理：setooltie将网页下载，然后用自己的服务器来进行显示。所以要
占用80端口。PS：用阿里云主机的时候一开始没有将80端口的其他程序关闭，导致端口被占
用，钓鱼网页起不来。
2、实际应用的时候，最好布置在公网上，还有将IP和域名绑定。

PS：千万不要触犯法律哦！