SET 的钓鱼网站模块核心是 Website Attack Vectors(网站攻击向量) ,其下的 Credential Harvester Attack Method(凭证窃取攻击) 是最常用的钓鱼网站功能,可快速克隆目标站点或使用内置模板,诱骗用户输入账号密码并实时捕获凭证,仅用于授权安全测试。
一、模块定位与入口路径
- 核心目标:搭建高仿真钓鱼网站,窃取用户登录凭证(账号 / 密码),并支持提交后自动跳转至真实站点以降低怀疑。
- 菜单路径 :
- 启动 SET:
sudo setoolkit(同意协议输入 y) - 选择
1) Social-Engineering Attacks - 选择
2) Website Attack Vectors - 选择
3) Credential Harvester Attack Method(凭证窃取核心模块)
- 启动 SET:
二、凭证窃取的 3 种实现方式
进入模块后提供 3 种钓鱼页面生成方式,适配不同场景:
| 方式 | 选项 | 适用场景 | 优势 | 操作要点 |
|---|---|---|---|---|
| 内置模板 | Web Template | 快速测试,常用登录页 | 无需克隆,一键生成 | 提供 Google、Facebook、Twitter 模板,选模板→设监听 IP→启动 |
| 网站克隆 | Site Cloner | 自定义目标站点(如企业内网、网银) | 1:1 克隆真实页面,欺骗性强 | 输入目标 URL→设监听 IP→自动克隆并部署 |
| 自定义导入 | Custom Import | 本地修改的网页 / 自定义页面 | 高度定制化,适配特殊页面 | 导入本地 HTML 文件→配置监听 |
三、实操步骤(以网站克隆为例,最常用)
- 环境准备
- 关闭占用 80 端口的服务(如 Apache):
sudo systemctl stop apache2 - 检查端口:
ss -antpl | grep 80(确保无占用)
- 关闭占用 80 端口的服务(如 Apache):
- 配置克隆参数
- 选择
2) Site Cloner - 输入监听 IP(Kali 本机 IP,如 192.168.1.100,直接回车默认本机)
- 输入目标网站 URL(如
https://github.com/login)
- 选择
- 启动与交付
- SET 自动克隆页面并启动 Web 服务(默认 80 端口)
- 诱骗目标访问
http://你的KaliIP - 目标输入账号密码后,凭证实时显示在 SET 终端,并自动跳转至真实站点
- 查看结果
- 凭证日志默认保存至
/root/.set/logs/harvester.log
- 凭证日志默认保存至
四、关键参数与优化技巧
- 端口与 IP 配置
- 默认使用 80 端口(HTTP),如需 HTTPS,可配合 SSL 证书(SET 支持自签名证书配置)
- 监听 IP 需确保目标可访问(同网段用内网 IP,公网测试需端口映射)
- 防检测优化
- 提交后跳转真实站点:SET 默认配置,避免用户发现异常
- 隐藏 URL:用短链接工具(如 bit.ly)缩短钓鱼链接,降低警惕
- 免杀与绕过:克隆时保留原站点样式 / JS,避免被浏览器安全机制拦截
- 常见问题排查
- 页面无法访问:检查防火墙规则(开放 80 端口)、IP 配置正确、端口未被占用
- 凭证不显示:确认目标提交了表单,SET 日志路径权限正常(root 运行)
- 克隆失败:目标站点有反爬 / CDN 时,可手动下载 HTML 后用 Custom Import 导入
五、法律与安全边界
- 必须授权:未经授权使用属于违法行为,仅用于企业内部安全评估或合规测试
- 伦理规范:测试后立即停止服务,删除捕获的凭证,避免数据泄露
- 规避风险:钓鱼链接仅限测试环境,禁止向外部扩散
六、扩展场景
- 结合 SET 的 QRCode Generator 模块,生成钓鱼链接二维码,适配移动端钓鱼
- 配合 Metasploit,在钓鱼页面中植入恶意载荷(如浏览器漏洞利用),实现一机两用