渗透测试 ( 9 ) --- 社会工程攻击工具 setoolkit

github 地址：https://github.com/trustedsec/social-engineer-toolkit

kali工具 -- setoolkit(克隆网站及利用)：https://blog.csdn.net/weixin_41489908/article/details/103851057

1、社会工程学概念

社会工程学通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码，一个人的名字，或者工作的id号码，都可能被社会工程师所利用。

2、社会工程学工具 --- set

kali 中打开 social engineering toolkit ( root )，或者命令行输入：setoolkit

SET 利用人们的好奇心、信任、贪婪及一些愚蠢的错误，攻击人们自身存在的弱点。SET最常用的攻击方法有：用恶意附件对目标进行 E-mail 钓鱼攻击、Java Applet 攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

使用 set 需要 root 用户的权限，启动时需要输入密码 kali。

SET 是一个 "菜单驱动" 的 工具包。如下：

这里有 6 行命令

1) Social-Engineering Attacks                     1) 社会工程攻击
2) Penetration Testing (Fast-Track)             2) 渗透测试(快速通道)
3) Third Party Modules                                 3) 第三方模块 
4) Update the Social-Engineer Toolkit        4) 更新社会工程师工具包
5) Update SET configuration                       5) 更新集配置  
6) Help, Credits, and About                         6)使用帮助及相关信息
99) Exit the Social-Engineer Toolkit           99)退出社会工程师工具包

3、SET 的 使用

二维码攻击 QRCode Generator Attack

1、先启动 SET，
2、生成二维码
    在 SET主菜单中选择第1项 --- Social-Engineering Attacks(社会工程学攻击)
    继续选择菜单第8项 --- QRCode Generator Attack Vector(二维码生成器攻击向量)
    插入图片描述设置二维码对应网站的URL，这里用 https://www.baidu.com

生成的图片在下面目录