Статья The Social-Engineer Toolkit V7.4.4 codename ‘Recharged’.

Приветствую! Не так давно, а именно 27.12.2016 вышло обновление отличной утилиты для проведения тестирования на проникновение - Social-Engineering-Toolkit, теперь для использования доступна версия - Social-Engineering-Toolkit v7.4.4 coedname “Recharged”.

Установим обновленную версию с github:

> git clone https://github.com/trustedsec/social-engineer-toolkit

> cd social-engineer-toolkit

> ls –a

> ./setup.py install

Список изменений в обновленной версии:

· Исправлено - /usr/bin/msfconsole - не отображается соответствующий Metasploit путь

· Исправлено использование имени хоста в powershell injector (при использовании http/https) payloads

· Добавлена улучшенная обработка методов импорта в SMS-spoofing и убраны отчеты об ошибках

· Изменен интерфейс API для Python исходника, для SMS-spoofing

Запустим фреймворк:

> ./setoolkit

Меню программы:

· 1) Social-Engineering Attacks

· 2) Fast-Track Penetration Testing

· 3) Third Party Modules

· 4) Update the Social-Engineer Toolkit

· 5) Update SET configuration

· 6) Help, Credits, and About

· 99) Exit the Social-Engineer Toolkit

Главное меню:

Social-Engineering Attacks:

· Spear-Phishing Attack Vectors

· Website Attack Vectors

· Infectious Media Generator

· Create a Payload and Listener

· Mass Mailer Attack

· Arduino-Based Attack Vector

· Wireless Access Point Attack Vector

· QRCode Generator Attack Vector

· Powershell Attack Vectors

· SMS Spoofing Attack Vector

· Third Party Modules

Penetration Testing (Fast-Track):

· Microsoft SQL Bruter

· Custom Exploits

· SCCM Attack Vector

· Dell DRAC/Chassis Default Checker

· RID_ENUM – User Enumeration Attack

· PSEXEC Powershell Injection

Модули сторонних производителей:

· Update the Social-Engineer Toolkit

· Update SET configuration

Поддерживаемые платформы:

· Linux

· Mac OS X

Добавить больше нечего, спасибо за внимание и вот ссылка на страницу разработчиков:

=> https://github.com/trustedsec/social-engineer-toolkit

 

[ghostphisher]

А проблема с SMS Spoof не решилась.....Если у кого получиться реализовать данный вектор - опишитесь в теме.

 

[Underwood]

Всем привет!
Хотел бы немного дополнить обзор возможностей нового релиза этой замечательной утилиты, речь пойдет о модулях сторонних разработчиков Third Party Modules (пункт 3-ий главного меню), который включает в себя пока единственный скрипт
"Google Analytics Attack" разработанный @ZonkSec
Суть вектора этой атаки основывается на СИ, посредством использования популярной метрики для владельцев и администраторов веб-сайтов - Google Analytics, а именно веб-мастер (далее жертва) видит в панели аналитики странный реферальный трафик с домена, который находится под контролем атакующего, далее жертва повинуясь инстинкту любопытства копирует этот домен в адресную строку своего браузера и переходит на сайт атакующего, чтобы понять откуда пришли новые посетители...profit...дальнейшее развитие атаки зависит уже только от фантазии и навыков хакера.

Принцип работы счетчиков метрики Google Analytics строиться на размещении в корневой директории сайта скрипта на java, который содержит уникальный код Tracking ID (UA-XXXXX) идентефицирующий каждого вебмастера, таким образом когда пользователь посещает страницы сайта этот скрипт собирает и передает некие "статистические" данные на серверы Google, доступ к которым со стороны веб-мастера (в данном случае жертвы) реализован через панель аналитики. Таким образом, этот скрипт можно использовать с помощью реверсивной инженерии модифицируя запросы c помощью GET, где основные параметры "любезно" опубликованы в документации специалистами Google

К тому же стоит обратить на интересный параметр на следующем скрине

Для запуска скрипта “Google Analytics Attack” необходимо запустить утилиту setoolkit и выбрать в главном меню опцию под номером 3 "Third Party Modules" Далее необходимо выбрать один из предложенных режимов атаки: автоматический или ручной
(согласно скриншотам ниже)

Благодарю за внимание!
[doublepost=1483343869,1483343786][/doublepost]

А проблема с SMS Spoof не решилась.....Если у кого получиться реализовать данный вектор - опишитесь в теме.

У меня тоже не получилось реализовать этот вектор через api SET, но через веб интерфейс на сайте разработчиков этого модуля

Ссылка скрыта от гостей

удалось отправить смску с рандомного +7 777 777 777 на свой виртуальный номер, но при этом есть ряд критических моментов: тест сообщения кириллицей имеет явные проблемы с кодировкой (хотя возможно эта проблема только у меня), необходима регистрация и подтверждение аккаунта на сайте, к тому же сервис платный (минимальный пакет 10 sms = 6€), хотя авторы на своих страницах в соц. сетях ежедневно публикуют коды для бесплатного доступа и если верить описанию на сайте за скриншот "Поделиться" ссылкой в соц сетях обещают "премиум доступ" к своему сервису.

 

[ghostphisher]

Если не получается реализации как в данном видео (не доступно для РФ - смотреть через ТОР)

То смысл с SET вообще теряется. Можно найти платные сервисы, готовые дать такую услугу.
временные телефонные номера которые использовались в видео брать ниже http://www.receive-sms-online.info/https://vk.com/away.php?to=http://www.receive-sms-online.info/&post=-102292728_815

 

[jsat]

Ребята помощь нужна. В VMware установлен Kali Linux. При выборе сетевого адатера NAT SET запускается без ошибок, а при автомост в локальной сети без домена IPv4 с адресом 192.168.20.11, маска сети 255.255.0.0, шлюз 0.0.0.0 появилься вот такая ощибка. Если сеть вернуть в NAT все нормально. Как решит проблему...