1.介绍

社会工程师工具包（SET）是一个kali自带的开源渗透测试框架，专门设计用于对人为因素执行高级攻击，并迅速成为渗透测试人员武器库中的标准工具。SET是 TrustedSec ，LLC的产品，TrustedSec，LLC是一家位于俄亥俄州克利夫兰的信息安全咨询公司。SET是一个基于Python的自动化工具，为我们创建了一个菜单驱动的应用程序。更快的执行速度和Python的多功能性使其成为开发模块化工具（如SET）的首选语言。

2.实践过程

先打开kali终端，输入setoolkit打开SET

这里我们选择第一个社工模块

选第二个 网站攻击模块

我们选第五个 web jacking攻击方式

这里选第二个 克隆网站

这里输入自己攻击机的IP，以及要克隆的网站（可以不输入ip，默认是本机ip）我这里克隆母校的选课界面

接着用靶机直接访问ip地址

可以看到访问到的网站是一摸一样的，并且在输入账户密码后会自动跳转到真正的平台

数据会返回到kali，可以看到这里有老朋友rsa，userlen，passwordlen什么的，这里是对账户密码进行了加密再传输，这里不深度研究，如果克隆的网站是直接传输账户密码的，那么直接看到username：****，password：****，这里还对qq邮箱登录进行了克隆，发现报错如下（不知如何解决，还请大佬教教）

3.进阶尝试

这时候室友跑过来说：不会有啥子跑过来输入这样一个ip地址让我钓鱼的。我：

于是我决定学习一下内网穿透映射，这里使用花生壳（点击了解）

这里打开映射之后便可在公网访问，这里的域名是免费送的，我就直接拿过来用了，当然可以去搞一个更加接近实际网站域名的域名

这样就可以在公网访问了，输入账号密码后，数据在kali呈现

4.总结

（1）制作一个钓鱼网站非常的简单方便，面对邮件里的或者新朋友发的链接还需要多加防护

（2）推荐网站做登录界面的时候选择如某音，某bili一样的弹窗式登录，如下

最后，本文仅限于技术讨论与分享，严禁用于非法途径