SocialFish-kali下社会工程学钓鱼工具-X黑手网

前言：

这里使用一款比较简易好用的社工钓鱼工具，做一下使用笔记，SocialFish是一款基于Phishing的社交工程工具，它能够模拟各种社交媒体网站的登录页面，以获取用户的账号和密码。SocialFish的使用非常简单，只需输入目标网站的URL，即可生成一个伪造的登录页面，通过发送伪造的邮件或链接，诱骗用户登录，从而获取用户的敏感信息。下面我们来详细介绍SocialFish的特点和使用方法。

项目地址：

UndeadSec/SocialFish: Phishing Tool & Information Collector (github.com)

必须需要的环境：

Python 2.7
Wget from Python
PHP
sudo

可选系统：

Kali Linux – Rolling Edition
Linux Mint – 18.3 Sylvia
Ubuntu – 16.04.3 LTS
MacOS High Sierra

SocialFish的特点

多种伪造页面模板

SocialFish内置了许多社交媒体网站的伪造页面模板，包括Facebook、Twitter、Instagram、LinkedIn等。用户可以根据需要选择相应的模板，生成一个与目标网站非常相似的伪造页面，提高诱骗用户的成功率。

自定义伪造页面

用户还可以根据自己的需求，自定义伪造页面的样式和内容，例如添加自己的Logo、修改页面颜色、添加欺骗性的提示信息等，使伪造页面更加逼真。

支持多种攻击方式

SocialFish支持多种攻击方式，例如通过邮件、短信、社交媒体等方式发送伪造页面链接，诱骗用户登录。用户还可以将伪造页面嵌入到自己的网站中，通过SEO优化提高页面的搜索排名，进一步增加诱骗用户的成功率。

支持多种操作系统

SocialFish支持多种操作系统，包括Linux、Windows、Android等。用户可以在不同的操作系统上安装SocialFish，实现跨平台的攻击。

正文：

首先我们安装一下环境，这里如果你的kali比较老可能需要更新一下python环境，不然会启动失败。

更新python环境命令：

apt-get install python3 python3-pip python3-dev -y

下载文件：

git clone https://github.com/UndeadSec/SocialFish.git

这里下载可能需要挂上代理

进入到目录下执行

安装命令：

python3 -m pip install -r requirements.txt

这里我们就是安装环境和软件成功了，下面我们只需简单的启动一下软件即可

./SocialFish.py bai 123456

后面第一个bai是用户名，123456是自己设置的密码

回车启动

显示这个画面就是成功启动，如果报错可能就是没有给执行权限

chmod +x SocialFish.py

或者就是你的python环境有问题，然后启动成功我们访问

http://kali ip:5000/neptune

输入你刚刚设置的账号密码登录后为这样

这里1是输入你要克隆的站点，2的位置是克隆站点跳转后的网址，这里自行选择之后，我们点击那个雷电的符号，例如我这里设置

blog.bbskali.cn/admin

然后点击雷电标志，然后我们访问

http://192.168.119.135:5000

这里换成你自己的IP即可

随便输入点什么回车即可，返回我们的后台页面刷新之后下拉

测试

点击箭头处即可查看到刚刚输入的密码。

评价：

这个克隆站点存在不少问题，js和css都不能很好的复刻，但是使用简单界面对新手很友好。

个人感受：

用到了ngork，把本地的虚假资源，放到了公网上，提供给目标去访问，仿真度比较高，资源仿真度比较高，然后重点伪造域名或者欺骗域名，就可以了。

编辑自定义页面

HTML模版代码如下所示：

<html>

<head></head>

<body>

<form action="/login" method="POST">

    <label>Email Address</label>

    <input type="email" name="email" placeholder="Email" autocomplete="off">

    <label>Password</label>

    <input type="password" name="password" placeholder="Password" autocomplete="off">

<button type="submit">sign in</button>                                

</form>

</body>

</html>

生成伪造页面

用户可以在SocialFish的主界面选择相应的伪造页面模板，或者自定义伪造页面的样式和内容。生成伪造页面后，用户可以将页面链接发送给目标用户，诱骗其登录。

查看收集到的信息

用户可以在SocialFish的主界面查看收集到的用户信息，包括账号、密码、IP地址等。用户还可以将收集到的信息导出为CSV文件，方便进一步分析和处理。

总结

SocialFish是一款功能强大的社交工程工具，它可以帮助用户快速生成伪造页面，诱骗用户登录，从而获取用户的敏感信息。然而，我们需要注意，使用SocialFish进行非法活动是违法的，用户必须遵守相关法律法规，不得进行任何违法行为。

1、本网站名称： X黑手网
2、本站永久网址：https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END