Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Social-Engineering Toolkit   
El Social-Engineering Toolkit – SET, es una aplicación que se complementa con el framework de Metasploit para facilitar los ataques que requieren la interacción directa del usuario víctima.

Es decir cuando se requiere “convencer” por medio de técnicas de ingeniería social al cliente para que este a su vez ejecute nuestros archivos maliciosos ya sean pdf’s, archivos de office, canciones y en fin cualquier tipo de archivo contaminado con un Payload especifico para una función específica.

El SET a su vez nos permite ejecutar opciones como:

» Envío masivo de correos electrónicos (con archivos adjuntos contaminados).
» Envenenamiento de la tabla ARP para suplantar sitios web auténticos.
» Phishing.
» Creación de Payloads.
» Actualizar el framework de Metasploit.
» Actualizar el SET, etc.



Para este ejemplo en particular usaremos la opción “Website Attack Vectors”, en donde se suplantara el sitio web de Google (en este caso no se realizo ARP Poisoning por lo cual el usuario victima deberá realizar el requerimiento directamente al servidor Web del atacante) mediante la opción “Site Cloner”.



A continuación aparecen distintos métodos de explotación los cuales serán visualmente distintos para el usuario final, para este caso se usara la opción “The Java Applet Attack Method”, la cual nos permite ejecutar el Payload por medio de un Applet de Java que debe ser aceptado por el usuario final.

Seguido a este paso es necesario seleccionar el Payload que se ejecutara en la maquina víctima.



Después se selecciona el Encode para evitar que el Payload sea detectado por los Antivirus y así aumentar la posibilidad de acceder a la maquina, para el ejemplo se selecciona la opción “shikata_ga_nai” y se itera solo una vez (entre más veces se itere el Encode mas difícil será la detección por parte del AV).



Acto seguido se ejecuta la consola de Metasploit configurada automáticamente por el SET para escuchar las conexiones provenientes del Payload ejecutado por el usuario víctima.



En la maquina victima aparecerá un mensaje en donde se solicita la ejecución del script de java de este tipo:



Al ser aceptado por el usuario se obtiene un Shell

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos