kali之setoolkit使用

1 搭建钓鱼网站

钓鱼网站是黑客常用的用于盗取目标用户名与账号的方式，今天主要介绍setoolkit来制作钓鱼网站

setoolkit是kali下的社会工程学工具集。

①进入setoolkit

命令行输入：

setoolkit

②选择社会工程学攻击 - 网络攻击 - 钓鱼网站

社会工程学攻击
快速追踪测试
第三方模块
升级软件
升级配置
帮助123456

• 在上图中，我们选择1，社会工程学攻击，进入到下图页面
  

鱼叉式网络攻击
网页攻击
传染媒介式
建立payload和listener
邮件群发攻击
Arduino基础攻击
无线接入点攻击
二维码攻击
Powershell攻击
第三反方模块12345678910

• 上图中输入2，选择社会工程学中的网络攻击，进入到下图页面：
  

Java applet攻击
Metasploit浏览器攻击
钓鱼网站攻击
标签钓鱼攻击
网站jacking攻击
多种网站攻击
全屏幕攻击1234567

• 上图中选择3，进入钓鱼网站攻击，进入下图页面：
  

网站模板
站点克隆
用自己的网站123

如果选择网站模板的话，会有几个默认的登陆界面的模板

如果想克隆指定的页面的话，就选择2站点克隆，当然，这个功能虽然强大，但是有的网站是无法克隆的，如果无法克隆，就选择3，自己制作一样的网站去钓鱼。这里我详细讲一下站点克隆的方法。

登录页面模板：

• 输入2，选择google登录模板：
  
• kali监听效果：
  

③站点克隆

选择完2之后，需要我们输入一些信息

• 上图中选择2，选择网站克隆，进入如下页面：
  

这个是我们克隆完之后的网站返回的ip地址，一般就写虚拟机的IP地址
# 此处我的虚拟机ip为192.168.145.98

这个是我们克隆完之后的网站返回的ip地址，一般就写虚拟机的IP地址，然后我们需要填写想要克隆的网站的url

回车之后，显示如下信息就代表克隆完成

④kali获取用户名、密码

我们将账号和密码都设为admin，点击登陆，发现有跳转到了真正的页面，也不会返回账号信息错误的界面，同时，kali也将我们输入的信息截获了，并在终端显示

⑤结合内网穿透实现公网可访问

本次使用DVWA的登录页面试验
内网穿透工具选择花生壳

• 到官网上下载花生壳并安装
  花生壳官网

  • 新增映射
    
  • 使用https映射认证

  该服务需要花费6元

  • 配置映射

  内网主机ip填写kali的ip即可

  

所以，这里就只需要我们将kali的IP以及端口(80)填入即可映射到外网了

但是前面也说过http协议是收费的，6块，但是能用很久个人觉得倒是不贵。

好，那现在就让我们去到最后一步！用Custom Import和花生壳去 钓 鱼 ~~

⑥公网钓鱼

注意：本文仅供学习之用，严禁做违法之事！

资料：
一、DVWA：
链接：https://pan.baidu.com/s/1ketwjg_wm5DSvCFNb20K2A 
提取码：sljb

1. 将dvwa文件拖至/root目录下，如果拖拽有问题上文有请自行查阅
   
2. 开启setoolkit

①. 打开终端输入setoolkit
②. 选择1社会工程学攻击
③. 选择2，网站攻击
④，选择3，钓鱼网站
⑤，选择3，用户导入【默认，回车即可】
⑥，选择导入的路径【/root/dvwa】
⑦，选择2，导入整个文件夹
⑧，配置内网穿透
⑨，通过域名访问，查看kali监听结果

选择3用户导入之后，会出现如下页面，如果是默认，直接回车即可
如果默认就直接回车。（如果选择域名，就需要将域名解析到该主机） 我们默认直接回车

下面我们选择2，导入整个文件夹

3. 配置内网穿透服务

4. 测试结果

输入网址访问：https://****.****.fun/

⑦克隆网站命令全过程

如果想要实现公网钓鱼，参照⑥即可

1. setoolkit
2. 输入1
3. 输入2
4. 输入3
5. 输入2
6. 输入kali虚拟机ip（或自己搭建的kali的ip）
7. 输入克隆的网站地址
8. 通过kali的ip访问克隆网站地址

• 原网站：
  

• 克隆网站：
  

大家也可以看到，钓鱼网站的制作其实并不难，所以我们平常在访问一些常用的有账号登陆的地方一定要看清楚url，防止被钓鱼。

参考：https://cloud.tencent.com/developer/article/1808932
https://www.freebuf.com/articles/network/317596.html