開源資安工具 — 偽裝的社群網站 — shellphish

任務目標

作為滲透測試人員,您應該使用各種社交工程工具來審視組織的安全性與員工資安意識。
您將使用社群軟體嘗試讓使用者洩漏個人訊息,在真實情境中,攻擊者可能會使用這些訊息來進一步的對目標發起攻擊。

使用工具

ShellPhish v1.7
作者:github.com/thelinuxchoice
載點:https://github.com/stwater20/shellphish
簡介:可以產生Instagram、Facebook、Twitter等常用社群網站的「假」網站,引誘目標登入帳戶以竊取個人訊息。

攻擊環境

OS:Kali 2021.04
滲透目標:Win10

進行演練

Step 1. 開啟 Terminal 下載 shellphish 工具。

git clone https://github.com/stwater20/shellphish

Step 2. 切換到shellphish目錄,並設定 shellphish.sh 能夠執行的權限。

cd shellphish
chmod +x ./shellphish.sh

Step 3. 執行 shellphish.sh 。

./shellphish.sh

Step 4. 根據目標對象選擇成功率最高的社群平台,工具就會建置 ngrok 並搭建網站伺服器。

Step 5. 透過任何方式將網址傳送給目標,目標點擊後,即收到受害者IP。

Step 6. 最後,待目標登入,成功取得帳號密碼。

討論

乍看之下,網址非常容易被識破,但您是否想過,Email的超連結是能夠用文字去隱藏真實連結的,社交工程的問題,值得沈思!

免責聲明

未經事先雙方同意,使用Shellphish攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。

請支持我的網站,一同壯大台灣開源資安工具推廣平台,本篇文同步發布在

以上內容未經許可不得轉載、引用。

--

--

NTUT CSIE | Biomedical Informatics Lab | github.com/stwater20 | sectools.tw

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store