实验原理

使用工具 setoo1kit，构造钓鱼网站，钓鱼网站可以选择为比较知名的网站，例如学信网。被攻击者访问了钓鱼网站，输入自己的真实账号密码进行登录，账号密码会被 kali 收集

        

实验步骤

打开 kali 终端，输入命令 setookit

选择对应的模块进行钓鱼网站的构造

1)社会工程学攻击

2)快速追踪测试

3)第三方模块

4)升级软件

5)升级配置

6)帮助

选择 (1) 社会工程学攻击

1)鱼叉式网络攻击

2)网页攻击

3)传染媒介式

4)建立 payload 和 listener

5)邮件群发攻击

6)Arduino基础攻击

7)无线接入点攻击

8)二维码攻击

9)Powershell 攻击

10)短信欺骗攻击向量

11)第三反方模块

选择 (2) 网页攻击

1)Java applet 攻击

2)Metasploit 浏览器攻击

3)钓鱼网站攻击

4)标签钓鱼攻击

5)网站jacking 攻击

6)多种网站攻击

7)全屏幕攻击

8)HTA攻击方法

选择 (3) 钓鱼网站攻击

1)网站模板

2)站点克隆

3)用自己的网站

选择 (1) 网站模板

新建一个kali 的窗口去进行服务器的开放

因为kali 本身的IP为钓鱼网站的网址，kali本身需要能提供网页服务，修改setoolkit的配置文件 /etc/setoolkit/set.config 中的apache server，将“0FF”改为“ON”

利用 Google 的网页进行钓鱼网站构造的测试

回到之前的窗口，选择 2:Google

打开物理机 windows 的浏览器

输入 kali 的IP地址 (http://192.168.32.131)，可以看到进入的是 Google 的官网

输入账号 123@qq.com、密码 123

返回 kali 可以看到账号和密码已经被收集

         

-----------接下来使用克隆网站的方式，大部分网站都可以使用这个方式进行伪造------------

选择 (3) 钓鱼网站攻击，然后选择 (2) 站点克隆

分别填写 kali 的 IP 和需要克隆的网络上真实的站点

按下回车键后提示正在监听，并且会在 /var/www/html 目录下创建 post.php 文件

新建一个窗口

使用命令 cd /var/www/html 进入目录，使用命令 ls 进行目录下文件的查看

每次克隆新网站时记得把之前的 post.php 文件使用 rm 命令进行删除，否则访问 kali 的地址时会一直卡在上次克隆过的网站（可试试不删）

        

实验结果

物理机访问 kali 的地址，钓鱼网站构造成功

和真网站对比，除了浏览器输入框输入的域名不一致以外，其他都一样

测试 kali 构造的钓鱼网站获取真实的登录凭据

在 kali 构造的钓鱼网站上输入学信网账号和密码进行登录

登录后发现页面闪动了一下但是没有登录进去，发现页面已经跳转到真实的学信网了

再次输入正确的用户名和密码就可以登录学信网了，此时我们返回 kali 的界面查看

发现刚才输入的账号和密码已经被成功采集

         

实验总结

通过本实验，体验到了构造钓鱼网站的方法，可结合钓鱼思路，构建钓鱼网站。深入了解钓鱼网站的危害，提升安全防护意识