前言

当我们在访问一个网站的时候，可能偶尔会遇到这样的情况，打开网页，并没有发现什么异常，但是当我们在网页表单中输入用户名和密码等信息然后点击登录按钮进行数据提交的时候，发现页面突然闪了一下，并且页面又出现了一个空白的表单，刚输入的数据全部消失了，这时候给我们的感觉就是怀疑自己刚才可能输错了数据，或者说怀疑自己的网络可能出现了什么问题。然而事实真的是这样吗？作为一个从事网络安全的技术人，我怀疑你可能已经遭受了网络钓鱼攻击。

接下来，笔者将揭秘一下黑客是如何通过setoolkit这个软件实施网络钓鱼攻击的。

实验环境准备

攻击机：kali（ip：192.168.153.129）

目标网站：即想要实施钓鱼攻击的网站（这里读者可自行选择，网站在互联网真实存在即可）

工具软件：setoolkit

实验步骤

第一步 启动软件

由于setoolkit在使用过程中会涉及到metasploit中的相关内容，所以在启动setoolkit前先启动postgresql数据库，然后再启动setoolkit

第二步 针对钓鱼攻击对软件进行配置

启动setoolkit后，会出现一个项目选择列表，本次实验的内容为实施钓鱼攻击，而钓鱼攻击也是属于社会工程学攻击的范畴，所以我们这里选择1，社会工程学攻击

进入这个菜单子项后同样会出现一个选择列表，这里我们选择第二项，web站点导向

由于我们实施钓鱼攻击的目的是窃取用户输入的用户名和口令，所以我们在这个菜单列表中选择第三项，针对身份认证信息的攻击方法

然后在选择第二项，站点克隆

进入站点克隆选项后我们会看到一个需要输入ip地址的选项，注意这里需要输入的ip地址是攻击者的ip，也就是用户第一次看到的钓鱼网站的ip地址，所以我们在这里输入攻击机的ip

输入之后回车，发现这里需要我们输入一个url地址，这里要输入的url地址就是钓鱼网站的真实网站的url地址，即想要实施钓鱼攻击的网站上的url，笔者这里出于对真实网站安全性的考虑，对网站的url进行了打码保护，希望读者理解

然后setoolkit出现了一个提示信息，这里我们直接输入return即可

到这里，钓鱼攻击的前期准备工作就完成了，现在只等着“鱼儿”上钩即可

第三步 通过浏览器访问钓鱼网站

由于笔者所做皆为实验内容，为广大读者解密黑客如何实施钓鱼攻击，所以在这里就直接通过在浏览器中输入IP地址访问钓鱼网站，在真实的攻击环境中，黑客往往还会采用DNS欺骗的手段致使用户对钓鱼网站难以识别

可以发现我们已经成功访问到了钓鱼网站，与真实网站对比，发现唯一与之不同的就是url地址栏中的信息，如何再利用DNS欺骗就地址栏中ip地址转换为网站的域名，作为一个普通网络用户来说，一般都不会对这些信息有所留意，往往当其以成功访问到网站的时候，首先就会在网页表单中填写对应信息。笔者为了测试实验效果，也在对应表单中填写了相应数据，然后点击登录按钮进行数据提交

我们发现网站页面并没有进行跳转，而是闪动了一下，并且表单里填写的数据都消失了，这个时候我们再看网站的url地址，发现已经变为了网站真实的url地址，然后我们再回到setoolkit来看看刚才发生了什么

不可思议的事情发生了，用户在网站上提交的用户名密码等个人信息已经出现了黑客的电脑上，并且在这个时候，大多数用户可能都还没有察觉自己的用户名和口令已经泄露了

实验总结

本次实验通过对黑客实施钓鱼攻击的高度还原，揭秘了黑客如何通过setoolkit这个工具软件来实施钓鱼攻击以窃取用户的用户名和口令信息，并且也暴露了在钓鱼攻击中存在的一些细微的缺陷，帮助用户察觉所访问的网站为真实网站还是钓鱼网站。那么我们在上网过程中如何防范钓鱼攻击呢？或者说发现自己已经遭受钓鱼攻击后该如何处理呢？首先，在访问需要登录的网站时，要仔细观察网站的url地址，往往钓鱼网站的url地址与真实网站的都会有所差距；其次，当我们在访问比较重要的网站的时候，笔者建议直接通过ip地址访问，避免钓鱼攻击。当我们发现已经遭受钓鱼攻击后，要及时登录修改自己的用户名和口令，避免造成更大的损失。

 

 

特别声明：

本实验纯属个人学习研究，若读者利用该实验方法发起真实攻击，造成一切后果都由其个人承担，与本文作者无关