Статья The Social-Engineer Toolkit V7.4.4 codename ‘Recharged’.

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 327
Приветствую! Не так давно, а именно 27.12.2016 вышло обновление отличной утилиты для проведения тестирования на проникновение - Social-Engineering-Toolkit, теперь для использования доступна версия - Social-Engineering-Toolkit v7.4.4 coedname “Recharged”.

upload_2016-12-31_1-37-26.png


Установим обновленную версию с github:

> git clone

upload_2016-12-31_1-37-59.png


> cd social-engineer-toolkit

> ls –a

> ./setup.py install

upload_2016-12-31_1-38-30.png


Список изменений в обновленной версии:


· Исправлено - /usr/bin/msfconsole - не отображается соответствующий Metasploit путь

· Исправлено использование имени хоста в powershell injector (при использовании http/https) payloads

· Добавлена улучшенная обработка методов импорта в SMS-spoofing и убраны отчеты об ошибках

· Изменен интерфейс API для Python исходника, для SMS-spoofing

Запустим фреймворк:

> ./setoolkit


upload_2016-12-31_1-39-40.png


Меню программы:

· 1) Social-Engineering Attacks

· 2) Fast-Track Penetration Testing

· 3) Third Party Modules

· 4) Update the Social-Engineer Toolkit

· 5) Update SET configuration

· 6) Help, Credits, and About

· 99) Exit the Social-Engineer Toolkit

upload_2016-12-31_1-40-9.png


Главное меню:

Social-Engineering Attacks:

· Spear-Phishing Attack Vectors

· Website Attack Vectors

· Infectious Media Generator

· Create a Payload and Listener

· Mass Mailer Attack

· Arduino-Based Attack Vector

· Wireless Access Point Attack Vector

· QRCode Generator Attack Vector

· Powershell Attack Vectors

· SMS Spoofing Attack Vector

· Third Party Modules

Penetration Testing (Fast-Track):

· Microsoft SQL Bruter

· Custom Exploits

· SCCM Attack Vector

· Dell DRAC/Chassis Default Checker

· RID_ENUM – User Enumeration Attack

· PSEXEC Powershell Injection

Модули сторонних производителей:

· Update the Social-Engineer Toolkit

· Update SET configuration

Поддерживаемые платформы:

· Linux

· Mac OS X

Добавить больше нечего, спасибо за внимание и вот ссылка на страницу разработчиков:

=>
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 533
3 378
А проблема с SMS Spoof не решилась.....Если у кого получиться реализовать данный вектор - опишитесь в теме.
 
U

Underwood

Всем привет!
Хотел бы немного дополнить обзор возможностей нового релиза этой замечательной утилиты, речь пойдет о модулях сторонних разработчиков Third Party Modules (пункт 3-ий главного меню), который включает в себя пока единственный скрипт
"Google Analytics Attack" разработанный @ZonkSec
Суть вектора этой атаки основывается на СИ, посредством использования популярной метрики для владельцев и администраторов веб-сайтов - Google Analytics, а именно веб-мастер (далее жертва) видит в панели аналитики странный реферальный трафик с домена, который находится под контролем атакующего, далее жертва повинуясь инстинкту любопытства копирует этот домен в адресную строку своего браузера и переходит на сайт атакующего, чтобы понять откуда пришли новые посетители...profit...дальнейшее развитие атаки зависит уже только от фантазии и навыков хакера.
referr.png

Принцип работы счетчиков метрики Google Analytics строиться на размещении в корневой директории сайта скрипта на java, который содержит уникальный код Tracking ID (UA-XXXXX) идентефицирующий каждого вебмастера, таким образом когда пользователь посещает страницы сайта этот скрипт собирает и передает некие "статистические" данные на серверы Google, доступ к которым со стороны веб-мастера (в данном случае жертвы) реализован через панель аналитики. Таким образом, этот скрипт можно использовать с помощью реверсивной инженерии модифицируя запросы c помощью GET, где основные параметры "любезно" опубликованы в документации специалистами Google
parametrs.jpg

К тому же стоит обратить на интересный параметр на следующем скрине :)
parametrs1.jpg

active_vizit.png

Для запуска скрипта “Google Analytics Attack” необходимо запустить утилиту setoolkit и выбрать в главном меню опцию под номером 3 "Third Party Modules" Далее необходимо выбрать один из предложенных режимов атаки: автоматический или ручной
(согласно скриншотам ниже)
guide.png

mode.jpg


Благодарю за внимание!
[doublepost=1483343869,1483343786][/doublepost]
А проблема с SMS Spoof не решилась.....Если у кого получиться реализовать данный вектор - опишитесь в теме.
У меня тоже не получилось реализовать этот вектор через api SET, но через веб интерфейс на сайте разработчиков этого модуля удалось отправить смску с рандомного +7 777 777 777 на свой виртуальный номер, но при этом есть ряд критических моментов: тест сообщения кириллицей имеет явные проблемы с кодировкой (хотя возможно эта проблема только у меня), необходима регистрация и подтверждение аккаунта на сайте, к тому же сервис платный (минимальный пакет 10 sms = 6€), хотя авторы на своих страницах в соц. сетях ежедневно публикуют коды для бесплатного доступа и если верить описанию на сайте за скриншот "Поделиться" ссылкой в соц сетях обещают "премиум доступ" к своему сервису.
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 533
3 378
Если не получается реализации как в данном видео (не доступно для РФ - смотреть через ТОР)
То смысл с SET вообще теряется. Можно найти платные сервисы, готовые дать такую услугу.
временные телефонные номера которые использовались в видео брать ниже http://www.receive-sms-online.info/https://vk.com/away.php?to=http%3A%2F%2Fwww.receive-sms-online.info%2F&post=-102292728_815
 
  • Нравится
Реакции: Sniff и Underwood
J

jsat

Active member
20.04.2017
32
9
Ребята помощь нужна. В VMware установлен Kali Linux. При выборе сетевого адатера NAT SET запускается без ошибок, а при автомост в локальной сети без домена IPv4 с адресом 192.168.20.11, маска сети 255.255.0.0, шлюз 0.0.0.0 появилься вот такая ощибка. Если сеть вернуть в NAT все нормально. Как решит проблему...
Безымянный.jpg
 
Мы в соцсетях: