一、简介

        社会工程学工具包是网络安全领域一个非常经典的开源渗透测试框架。它专门由于模拟针对“人”而非“系统”的攻击，版本住机构评估员工的安全意识。

二、主要功能

• 网站攻击向量：克隆一个真实网站（如公司内网，邮箱登录页），诱骗受害者输入帐号密码，从而实现凭证收割
• 鱼叉式钓鱼攻击：很对特定目标发送带有恶意软件（如word，pdf）或链接的定制化邮件。
• 恶意媒介生成：生成自动运行的恶意文件，植入U盘或CD，利用人的好奇心里（如在停车场捡到U盘插入电脑）进行攻击
• Payload生成与监听：与metasploit框架深度集成，可以生成木马程序，并在目标上线后建立控制绘画
• 其他攻击：还包括短信欺骗/二维码恶意利用、无线钓鱼热点等功能。

三、安装

下载地址：

# https://github.com/trustedsec/social-engineer-toolkit

apt安装：

# sudo apt-get install set

源码安装：

# sudo git clone https://github.com/trustedsec/social-engineer-toolkit.git

$ sudo setoolkit

四、选项说明及克隆google邮箱登录界面

 Select from the menu:

   1) Social-Engineering Attacks                #社会工程攻击
   2) Penetration Testing (Fast-Track)        #渗透测试
   3) Third Party Modules                        #       第三方模块
   4) Update the Social-Engineer Toolkit        #更新工具包
   5) Update SET configuration                #set 配置
   6) Help, Credits, and About                #帮助

  99) Exit the Social-Engineer Toolkit        #推出

选择1）

Select from the menu:

   1) Spear-Phishing Attack Vectors        #鱼叉式钓鱼攻击
   2) Website Attack Vectors                        #网页攻击
   3) Infectious Media Generator                #木马攻击
   4) Create a Payload and Listener        #建立一个监听
   5) Mass Mailer Attack                                #邮件群发攻击
   6) Arduino-Based Attack Vector                #Arduino的基础攻击
   7) Wireless Access Point Attack Vector        #无线接入点攻击
   8) QRCode Generator Attack Vector        #二维码攻击
   9) Powershell Attack Vectors                #Powershell 攻击
  10) Third Party Modules                #三方模块攻击

选择2：2) Website Attack Vectors 

1) Java Applet Attack Method                                       #java apple攻击（网页弹框那种）
   2) Metasploit Browser Exploit Method                      #Metasploit 里蓝其漏洞攻击
   3) Credential Harvester Attack Method                   #钓鱼网站攻击
   4) Tabnabbing Attack Method                                #标签钓鱼攻击
   5) Web Jacking Attack Method                             #网i站jacking攻击
   6) Multi-Attack Web Method                                #多种网站攻击方式
   7) HTA Attack Method                                        #全屏幕攻击（不明所以的玩意，只能够对谷歌邮箱和连书用）

选择3：1) Web Templates

1) Web Templates              #web木板
   2) Site Cloner                # 站点克隆
   3) Custom Import        #木板导入

选择1： 1) Web Templates 

首先确认apache2 是关闭的。# service  apaches stop

 1. Java Required                        #java 的一个引擎
  2. Google                                #       谷歌
  3. Twitter                                #推特

选2：

浏览器访问本机80：

输入帐号密码后，点击登录。在后端就能看见输入的账户和密码了：

注意：每用一次，都需要推出，重新进入。

五、克隆网站

# sudo setoolkit     ---》1------》2----》3--->2

1) Web Templates                        #web模板
   2) Site Cloner                        #站点克隆
   3) Custom Import                #木板导入

六、生成二维码

# sudo setoolkit     ---》1------》8

就会在/root/.set/reports/qrcode_attack.pmg的二维码文件。

七、生成payload and listener非免杀。

# sudo setoolkit     ---》1------》4--->2

声明：本文仅供参考学习，切勿用于违法用途。请遵守法律。