【网络安全实验报告】实验八：社会工程学实验

• 实验目的：

1.理解社会工程学的概念

2.掌握获取敏感信息的方法

3.提高自我信息保护的意识和方法

4.学习钓鱼网站生成的技巧，以便更好地理解网络威胁和防御方法

二、实验环境：

Kali linux、setoolkit

三、实验原理（或要求）：

       社会工程学：如果目标网络没有直接的入口，欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击，很有可能帮助我们找到渗透目标系统的入口。例如：诱使用户运行会安装后门的恶意程序。社会工程学渗透分为多种不同形式，伪装成网络管理员，通过电话要求用户提供给自己的账户信息，发送钓鱼邮件来劫持用户的银行账户，甚至是诱使某人出现在某个地点。

社会工程学是利用人性弱点体察、获取有价值信息的实践方法，它是一种欺骗的艺术。在缺 少目标系统的必要信息时，社会工程学技术是渗透测试人员获取信息的至关重要的手段。对 所有类型的组织（单位）而言，人都是安全防范措施里最薄弱的一环，也是整个安全基础设 施最脆弱的层面。人都是社会的产物，人的本性就是社会性，所以人都有社会学方面的弱点 都易受社会工程学攻击。社会工程学的攻击人员通常利用社会工程学手段获取机密信息，甚 至可以造访受限区域。社会工程学的方式多种多样，而且每种方法的效果和导向完全取决于使用人员的想象能力。

作为入侵的第一步，敏感信息搜集已经越来越受到黑客的重视。很多表面上看起来一点用都没有的信息，都会被社会工程学者利用起来进行渗透，熟练的社会工程学使用者都擅长进行信息收集。而目前人们对信息保密的概念还知之甚少，人们会认为自己的电脑安全和公布自己的喜好、资料、习惯信息能有什么关系呢？可这恰恰是他们被攻击的切入点。

四、实验步骤：

社会工程学工具 SET 伪造网站

SET 工具包

1.启动

2.菜单

3.用户名和密码的窃取

4.第一步 Social-Engineering Attacks

5.第二步 Site Clone

6.第三步访问伪造网站

7.获取信息

五、实验记录或结果

SET 工具包

1.启动

工具包属于第13个分类Social Engineering Tools

2.菜单

第一步 Social-Engineering Attacks

一共包含10个功能，分别是：

1）Spear-Phishing Attack Vectors：鱼叉式网络钓鱼攻击向量

2）Website Attack Vectors：网页攻击向量

3）Infectious Media Generator：感染式媒介生成器

4）Create a Payload and Listener：创建 Payload 和 Listener

5）Mass Mailer Attack：海量邮件攻击

6）Arduino-Based Attack Vector：基于 Arduino 的硬件攻击向量

7）Wireless Access Point Attack Vector：无线热点攻击向量

8）QRCode Generator Attack Vector：二维码攻击向量

9）Powershell Attack Vectors：Powershell 攻击向量

10）Third Party Modules：第三方模块

“Web Templates” （网站模块）是指利用SET中自带的模版作为钓鱼网站，SET中

选择了几个国外比较有名的网站，如Yahoo、Gmail等。

“Site Clone” （网站克隆）是 SET 中一个极为强大的功能，可以克隆任何网站。你

可以使用它模拟出想要冒充的网站，如某个单位的办公系统等。

“Custom Import”（自定义导入）允许你导入自己设计的网站。

       先选择第一个“Web Templates” （网站模块），克隆谷歌的网站

成果文件提取链接：

链接: https://pan.baidu.com/s/1DL7Z1urkh42DFfTtDL7ISQ?pwd=wca2 提取码: wca2