- Metasploit 教程
- Metasploit - 主页
- Metasploit - 简介
- Metasploit - 环境设置
- Metasploit - 基本命令
- Metasploit - Armitage GUI
- Metasploit - 专业控制台
- Metasploit - 易受攻击的目标
- Metasploit - 发现扫描
- Metasploit - 任务链
- Metasploit - 导入数据
- Metasploit - 漏洞扫描
- Metasploit - 漏洞验证
- Metasploit - 漏洞利用
- Metasploit - 有效负载
- Metasploit - 凭证
- Metasploit - 暴力攻击
- Metasploit - 旋转
- Metasploit - 维护访问权限
- Metasploit - 元模块
- Metasploit - 社会工程
- Metasploit - 导出数据
- Metasploit - 报告
- Metasploit 有用资源
- Metasploit - 快速指南
- Metasploit - 有用的资源
- Metasploit - 讨论
Metasploit - 社会工程
社会工程可以广义地定义为通过欺骗手段提取敏感信息(例如用户名和密码)的过程。黑客有时会使用虚假网站和网络钓鱼攻击来达到此目的。让我们尝试通过一些例子来理解社会工程攻击的概念。
实施例1
您一定注意到旧的公司文件被当作垃圾扔进垃圾箱。这些文件可能包含敏感信息,例如姓名、电话号码、帐号、社会安全号码、地址等。许多公司仍然在传真机中使用复写纸,一旦用完,其复写纸就会进入垃圾箱,可能会留下痕迹敏感数据。虽然这听起来不太可能,但攻击者可以通过窃取垃圾轻松地从公司垃圾箱中检索信息。
实施例2
攻击者可能会与公司人员成为朋友,并在一段时间内与他建立良好的关系。这种关系可以通过社交网络、聊天室在线建立,也可以在咖啡桌、游乐场或任何其他方式离线建立。攻击者对办公室人员进行保密,最终在没有给出任何线索的情况下挖出了所需的敏感信息。
实施例3
社会工程师可以通过伪造身份证或简单地让员工相信他在公司中的职位来冒充员工、有效用户或 VIP。这样的攻击者可以获得对受限区域的物理访问,从而提供进一步的攻击机会。
实施例4
在大多数情况下,攻击者可能就在您周围,并且可以在您输入用户 ID 和密码、帐户 PIN 等敏感信息时进行肩窥。
Metasploit 中的社会工程攻击
在本节中,我们将讨论如何使用 Metasploit 发起社会工程攻击。
首先,进入Metasploit主页,点击“钓鱼活动”,如下图所示。
输入项目名称,然后单击“下一步”。
输入活动的名称。在我们的例子中,它是Lab。接下来,单击“营销活动组件”下的“电子邮件”图标。
在下一个屏幕上,您需要根据您的活动提供所需的数据。
接下来,如果您想要更改电子邮件内容中的任何内容,请单击“内容”图标(数字 2)。更改内容后,点击保存。
接下来,单击“登陆页面”图标以设置要将受骗用户重定向到的 URL。
如下图所示,在Path处输入 URL ,然后单击Next。
在下一个屏幕上,单击“克隆网站”按钮,这将打开另一个窗口。在这里,您需要输入您要克隆的网站。正如您在下面的屏幕截图中看到的,我们在此字段中输入了tutorialpoint.com 。接下来,单击克隆按钮并保存更改。
接下来,单击重定向页面按钮。
单击下一步,您将看到以下屏幕。
您可以单击“克隆网站”按钮再次克隆重定向的网站。
接下来,在“服务器配置”部分中,单击“电子邮件服务器”按钮。
在下一个屏幕上,输入将用作发送此网络钓鱼电子邮件的中继的邮件服务器设置。然后,单击“保存”。
在“通知”部分,有一个选项可以在启动活动之前通知其他人。您可以选择使用此选项来通知其他人。然后,单击“保存”。
接下来,您将看到一个新窗口。在这里,您需要单击“开始”按钮来启动发送网络钓鱼邮件的过程。
Metasploit 可以选择生成网络钓鱼活动的统计报告。它将显示如以下屏幕截图所示。
