Kali Linux实战:用SEToolkit克隆Pikachu靶场,模拟钓鱼攻击与防御
1. 项目概述:为什么要在Kali里玩“钓鱼”?
如果你对网络安全感兴趣,或者正在学习渗透测试,那么“钓鱼攻击”这个词你一定不陌生。它不像那些需要复杂漏洞利用的“硬核”攻击,而是巧妙地利用人的心理弱点,诱骗目标主动交出敏感信息,比如账号密码、银行卡号。这种攻击的成功率往往高得惊人,也因此成为安全测试和真实攻击中极为常见的一环。
那么,作为安全从业者或学习者,我们该如何理解、防御甚至合法地测试这种攻击呢?答案就是搭建一个属于自己的、可控的钓鱼测试环境。这绝不是为了去做坏事,恰恰相反,是为了更深刻地理解攻击者的手法,从而在自己的系统或负责的业务中,构建起更坚固的“人性防火墙”。Kali Linux,这个渗透测试领域的“瑞士军刀”,自然成为了我们搭建这个环境的首选平台。而SEToolkit(Social-Engineer Toolkit)则是Kali中专门用于模拟社会工程学攻击的利器,用它来创建钓鱼网站,流程标准化,功能强大。
为了让测试更有趣、更贴近实战,我们不会仅仅停留在创建一个简单的登录页面上。本次项目,我将带你从零开始,在Kali Linux上配置SEToolkit,并克隆一个真实的靶场网站——Pikachu。Pikachu是一个集成了多种Web漏洞的靶场平台,用它作为我们的“鱼饵”,模拟攻击者克隆一个看似正常但暗藏后门的“高仿”网站。通过这个完整的流程,你不仅能掌握SEToolkit的核心用法,更能理解一次完整钓鱼攻击的上下游链路,包括网站克隆、凭证窃取、邮件伪造(可选)以及最关键的数据监听与捕获。无论你是刚入门的新手,还是想巩固社会工程学知识的老手,这篇手把手的实战指南都能让你有所收获。
2. 环境准备与核心工具解析
工欲善其事,必先利其器。在开始动手之前,我们需要确保环境就绪,并理解我们将要使用的核心工具到底扮演着什么角色。很多人一上来就急着敲命令,结果遇到各种依赖报错、服务启动失败,反而浪费了大量时间。我们先花点时间把地基打牢。
2.1 Kali Linux 基础配置与网络设置
首先,你需要一个Kali Linux环境。我强烈建议初学者使用虚拟机(如VMware Workstation或VirtualBox)来安装Kali,这样既安全又方便做快照。从Kali官网下载最新的ISO镜像文件进行安装即可。安装过程比较简单,这里不赘述,但有几个安装后的关键点必须注意:
更新系统与源:安装完成后第一件事,就是更新系统。打开终端,依次执行:
sudo apt update sudo apt upgrade -y这能确保你获取到最新的软件包和安全补丁。有时SEToolkit的某些功能依赖较新的库,更新可以避免很多奇怪的问题。
配置网络连接:这是钓鱼测试能否成功的生命线。你的Kali虚拟机需要和“靶机”(即你打算测试的,访问钓鱼网站的机器)在同一个网络内。
- 桥接模式:将虚拟机网卡设置为桥接模式,Kali会从你的家庭路由器获取一个独立的IP地址,和你的物理机处于同一网段。这是最推荐的方式,因为你的手机、同一WiFi下的其他电脑都能直接访问到Kali上搭建的钓鱼服务。
- NAT模式:默认模式。Kali通过你的物理机共享上网,但外部设备无法直接访问Kali的服务。除非你做了端口转发,否则不适合本次测试。
注意:在桥接模式下,请使用
ifconfig或ip addr命令查看Kali获取到的IP地址(通常是eth0或ens33网卡下的inet地址),记下它,比如192.168.1.105。这就是你钓鱼网站的“门牌号”。安装必要的辅助工具:虽然Kali已经预装了海量工具,但我们还是确保一下。我们会用到Apache、PHP和Git来部署Pikachu靶场。
sudo apt install apache2 php git -y sudo systemctl start apache2 sudo systemctl enable apache2
2.2 SEToolkit 深度介绍:不只是克隆网站
SEToolkit绝非一个简单的“网站复制粘贴”工具。它是一个高度集成化的社会工程学攻击套件,由TrustedSec的大佬David Kennedy创建。理解它的架构,能帮助你更好地运用它。
核心功能模块:启动SET后,你会看到一个数字菜单,其中与我们本次项目最相关的是:
- 1) Social-Engineering Attacks:社会工程学攻击,这是我们主要使用的部分,内含网站克隆、邮件群发、恶意文件生成等。
- 2) Penetration Testing (Fast-Track):快速追踪渗透测试模块,集成了一些自动化漏洞利用。
- 3) Third Party Modules:第三方模块。 我们绝大部分操作都在第一个菜单里完成。
网站攻击向量:在“社会工程学攻击”菜单下,选择“Website Attack Vectors”(网站攻击向量)。这里提供了几种钓鱼方式:
- 1) Java Applet Attack:较老的方式,利用Java漏洞。
- 2) Metasploit Browser Exploit Method:结合Metasploit的浏览器漏洞利用。
- 3) Credential Harvester Attack Method:凭证收割机攻击。这是我们本次的重点。它不利用任何软件漏洞,只是单纯地克隆一个网站,并记录所有提交到该网站表单的数据(如用户名、密码)。
- 4) Tabnabbing Attack Method:标签绑架攻击。
- 5) Web Jacking Attack Method:网页劫持攻击。
- 6) Multi-Attack Web Method:多攻击方法组合。
- 7) HTA Attack Method:利用HTA文件攻击。 对于模拟最常见的钓鱼,方法3(凭证收割)是最经典、最直接有效的。
工作原理简述:当选择“凭证收割机”并克隆一个网站(如
http://target-site.com/login)后,SEToolkit会在你的Kali上启动一个Web服务(默认端口80)。它会把目标网站的登录页面HTML下载下来,并修改其中的表单提交地址(Action),使其指向SEToolkit后台的一个监听脚本。当受害者访问你的钓鱼网站并输入凭据点击登录时,数据会先发送到你的SET后台被记录,然后受害者才会被(可配置地)重定向到真正的网站。整个过程受害者可能毫无察觉。
2.3 Pikachu靶场:一个理想的“鱼饵”目标
为什么选择Pikachu作为我们克隆的目标?因为它是一个故意设计存在漏洞的Web应用,本身结构清晰,功能典型,非常适合教学和测试。
- 靶场介绍:Pikachu靶场使用PHP/MySQL开发,包含了SQL注入、XSS、CSRF、文件上传、RCE(远程命令执行)等几乎所有常见的Web漏洞类型。它的登录界面 (
/pikachu/login.php) 是一个标准的表单,这正是钓鱼攻击最完美的目标。 - 部署Pikachu:我们将它部署在Kali本地的Apache上,模拟一个“内网真实应用”。
接着,需要配置数据库。Pikachu目录下有一个cd /var/www/html/ sudo git clone https://github.com/zhuifengshaonianhanlu/pikachu.git sudo chmod -R 755 pikachu/inc/config.inc.php文件,需要根据你的MySQL设置修改数据库连接信息。Kali默认安装了MariaDB(MySQL的一个分支)。
然后,访问sudo mysql -u root # 在MySQL命令行中执行: CREATE DATABASE pikachu; GRANT ALL PRIVILEGES ON pikachu.* TO 'pikachu'@'localhost' IDENTIFIED BY 'pikachu'; FLUSH PRIVILEGES; EXIT;http://<你的Kali IP>/pikachu,点击页面上的“初始化安装”按钮,即可完成数据库的创建和表结构的导入。现在,你就拥有了一个本地可访问的、功能完整的Pikachu靶场,其登录地址为http://<你的Kali IP>/pikachu/login.php。
实操心得:在虚拟机中做这类实验,务必养成快照的习惯。在关键步骤(如系统更新完毕、环境配置成功)后创建一个快照。这样一旦后续操作把环境搞乱了,可以瞬间回滚,节省大量重装时间。
3. 实战演练:使用SEToolkit克隆Pikachu登录页
环境准备好了,靶场也立起来了,现在让我们进入最核心的实战环节。我会一步步带你走通整个流程,并解释每个选择背后的原因。
3.1 启动SEToolkit与攻击向量选择
首先,在Kali终端中启动SEToolkit。因为它需要高权限来监听80端口等操作,我们通常使用sudo。
sudo setoolkit首次运行可能会让你接受条款,输入y同意即可。接着会看到主菜单。
- 选择攻击类型:在主菜单,输入
1选择Social-Engineering Attacks。 - 选择网站攻击向量:在接下来的子菜单,输入
2选择Website Attack Vectors。 - 选择凭证收割攻击:在网站攻击向量菜单,输入
3选择Credential Harvester Attack Method。这是最纯粹的钓鱼方式,不涉及漏洞利用,只关注窃取凭据。
3.2 配置钓鱼网站:克隆与重定向
选择攻击方法后,SET会给出三个选项:
- Web Templates:使用SET内置的简单模板(如Google、Facebook登录页)。
- Site Cloner:克隆一个已存在的网站。这是我们本次要用的。
- Custom Import:导入自定义的网站文件。
输入2,选择网站克隆器。
输入要克隆的URL:这时,SET会提示你输入要克隆的网站的完整URL。这里就是关键了。我们需要克隆我们本地搭建的Pikachu登录页。假设你的Kali IP是
192.168.1.105,那么你应该输入:http://192.168.1.105/pikachu/login.php重要提示:这里必须输入Kali本机能够访问到的地址。如果你输入一个外网地址(如某个真实网站的登录页),SET会尝试去互联网抓取,但这可能涉及法律和道德问题,并且可能因为目标网站的反爬机制而失败。使用本地靶场是绝对合法且可控的。
设置钓鱼服务器IP:接下来,SET会问:“Enter the IP address for the POST back in Harvester/Tabnabbing [192.168.1.105]”。这里默认会显示你Kali的IP,直接按回车确认即可。这个IP是告诉钓鱼页面,表单数据应该提交到哪个地址(即你的Kali)进行收集。
按下回车后,SEToolkit就开始工作了。它会自动完成以下几件事:
- 访问你提供的URL,下载该页面的HTML、CSS、JavaScript和图片等资源。
- 分析页面中的表单(
<form>标签),将其action属性修改为指向SET后台的监听地址(如http://192.168.1.105/post.php)。 - 在后台启动一个Apache服务(如果80端口被占用,可能会使用其他端口),并将修改后的钓鱼页面部署上去。
- 启动一个后台进程,监听表单提交的数据。
如果一切顺利,你会看到类似[>] The Social-Engineer Toolkit Credential Harvester Attack和[>] This is capable of capturing credentials from a website的成功提示。SEToolkit的Web服务已经在后台运行了。
3.3 验证与访问钓鱼网站
现在,如何验证我们的钓鱼网站是否搭建成功呢?
- 在Kali本机测试:打开Kali自带的浏览器(如Firefox),访问
http://192.168.1.105(即你Kali的IP)。你应该能看到一个和Pikachu原登录页一模一样的页面。 - 在靶机(如你的Windows物理机)测试:确保你的物理机和Kali虚拟机在同一个网络(比如都连接同一个WiFi)。在物理机的浏览器中,同样访问
http://192.168.1.105。你也应该能看到克隆的登录页。
对比观察:为了确认这是钓鱼页,你可以同时打开真正的Pikachu登录页 (http://192.168.1.105/pikachu/login.php) 进行对比。肉眼看起来应该没有任何区别。这是钓鱼攻击成功的第一步——以假乱真。
注意事项:有时你访问
http://[Kali-IP]可能看到的是Apache的默认页面(It works!),而不是钓鱼页面。这通常是因为SET启动的服务和你之前安装的Apache服务都试图占用80端口,产生了冲突。解决方法是先停止Apache服务:sudo systemctl stop apache2,然后再重新运行SEToolkit并启动钓鱼攻击。SEToolkit自己会管理一个轻量级的Web服务器来托管钓鱼页面。
4. 攻击模拟与数据捕获:当“鱼”上钩之后
钓鱼网站搭建好了,就像一个精心布置的陷阱。接下来,我们就要模拟“鱼儿”上钩的过程,并查看攻击者是如何捕获数据的。
4.1 模拟受害者行为
在你的靶机(物理机)浏览器中,访问钓鱼网站 (http://192.168.1.105)。在登录表单中,随意输入一些测试用的凭据,例如:
- 用户名:
test_victim - 密码:
P@ssw0rd123然后点击“登录”或“Submit”按钮。
此时会发生什么?
- 表单数据(username=test_victim&password=P@ssw0rd123)并不会被发送到真正的Pikachu后台 (
/pikachu/login.php)。 - 由于表单的
action已被SET修改,数据会被发送到SEToolkit后台的监听器(例如http://192.168.1.105/post.php)。 - SEToolkit的后台进程会实时捕获这些数据,并将其明文记录在一个日志文件中。
- 重定向:在捕获数据后,SEToolkit可以配置将受害者重定向到原始的真实网站。这样受害者输入错误密码(因为提交到了假网站)后,会被带到真网站,可能会以为自己输错了密码而再次输入,从而在真网站登录成功,降低了其怀疑。这个重定向地址是在克隆网站时,SET自动从原页面获取的。
4.2 查看窃取的凭证
数据被捕获后,我们需要回到Kali的SEToolkit终端窗口查看结果。在SET运行的主界面,它不会自动刷新显示捕获的数据。数据被记录在文件中。
- SEToolkit的日志文件:默认情况下,SET捕获的凭证会保存在
/root/.set/reports目录下。你可以打开一个新的终端标签页,使用cat或tail命令查看最新生成的文件。
使用sudo tail -f /root/.set/reports/*.txttail -f可以实时查看文件末尾的新增内容。当你模拟受害者提交表单后,应该立刻能看到类似下面的记录:
看,用户名和密码被清晰地记录了下来,同时还包含了攻击时间戳和受害者的IP地址。这就是一次成功的凭证窃取。[*] Captured Credentials: PARAM: username VALUE: test_victim PARAM: password VALUE: P@ssw0rd123 [*] Captured on: [日期时间] [*] From IP: [靶机的IP地址]
4.3 深入分析:SEToolkit做了什么手脚?
为了更深入地理解,我们可以简单看看SEToolkit对原网页做了什么。你可以比较一下原网页和钓鱼网页的HTML源代码。
在真正的Pikachu登录页,查看表单元素,它的action可能是相对路径,如action="login.php"或action="checklogin.php"。
而在钓鱼页面(通过浏览器右键“查看页面源代码”),你会发现表单的action被修改成了一个绝对路径,指向SEToolkit的服务器,例如:
<form method="post" action="http://192.168.1.105/post.php"> <input type="hidden" name="original_site" value="http://192.168.1.105/pikachu/login.php"> ... 其他输入框 ... </form>这里多了一个隐藏字段original_site,它记录了原始网站地址,用于后续的重定向。post.php就是SEToolkit用来接收数据的后端脚本。
实操心得:在实际的渗透测试授权中,这种凭证捕获只是第一步。获得凭据后,测试人员会尝试用这些凭据登录真实系统,验证漏洞的存在性,并评估其危害(是普通用户权限还是管理员权限?能否访问敏感数据?)。整个过程必须在明确的授权范围内进行。
5. 高级配置与防御视角
掌握了基础流程后,我们可以看看SEToolkit的一些高级配置选项,并从防御者的角度思考如何识破和防范此类攻击。
5.1 SEToolkit 高级选项解析
在克隆网站的过程中或之前,SEToolkit提供了一些可配置项:
- 端口设置:默认使用80端口。如果80端口被占用,你可以在启动SET前通过修改配置文件或使用其他工具(如
netcat)转发端口,但更简单的方法是在选择“凭证收割攻击”后,它有时会提示你是否使用SSL/自定义端口。对于内部测试,用80端口最简单。 - SSL证书:SEToolkit可以生成自签名的SSL证书,从而提供HTTPS的钓鱼链接(
https://...)。这会让钓鱼网站看起来更“可信”,因为浏览器地址栏会有一个锁的图标(尽管会显示证书不安全)。在高级菜单中可以配置。 - Java Applet 与 Metasploit 集成:除了凭证收割,SET的其他攻击向量(如Java Applet攻击)可以与Metasploit框架结合,在受害者访问页面时尝试利用其浏览器或插件的漏洞,从而获得一个反向Shell(远程控制会话)。这属于更高级的攻击,需要更复杂的环境配置和漏洞利用知识。
- 邮件群发功能:SEToolkit另一个强大的功能是邮件钓鱼。它可以伪造发件人,发送包含钓鱼链接的邮件给目标列表。这需要你配置一个SMTP服务器(如Gmail的SMTP,但需要应用专用密码)。切记,未经授权对他人发送钓鱼邮件是违法行为。
5.2 如何识别与防范钓鱼网站?
作为防御方,了解攻击手法后,我们可以总结出一些识别和防范钓鱼网站的实用技巧:
- 仔细检查URL:这是最直接的方法。钓鱼网站的域名往往与真实网站相似但不同,可能使用错别字(如
g00gle.com)、不同顶级域(如.comvs.net)或子域名混淆。在本次实验中,我们的钓鱼网站URL是纯IP地址 (http://192.168.1.105),而真实网站是带路径的 (http://192.168.1.105/pikachu/login.php),这在实际攻击中不常见,攻击者会尽量让域名看起来逼真。 - 查看网站安全证书:对于HTTPS网站,点击地址栏的锁图标,查看证书详情。检查证书是否由受信任的机构颁发,以及证书颁发的域名是否与当前访问的域名完全一致。自签名证书或域名不匹配的证书是危险信号。
- 审视网站内容与设计:虽然克隆技术可以做得非常像,但细微的差别可能存在,如图片模糊、链接指向错误、排版轻微错乱等。多留个心眼。
- 不轻易点击邮件中的链接:对于声称来自银行、社交平台、公司IT部门的邮件,尤其是要求你“立即验证账户”、“点击链接更新信息”的,要保持高度警惕。手动输入官网地址或从书签访问,而不是点击邮件中的链接。
- 使用密码管理器:好的密码管理器(如Bitwarden、1Password)通常具有“自动填充”功能,但它们只会对保存过密码的特定域名自动填充。如果你访问的是一个从未保存过密码的“新”域名(即使是看起来相似的钓鱼站),密码管理器不会自动填充,这可以作为一个警示。
- 启用多因素认证:即使密码被窃取,如果账号开启了多因素认证(MFA),如短信验证码、认证器App(Google Authenticator, Microsoft Authenticator)或硬件安全密钥,攻击者依然无法登录。这为账户安全增加了一道至关重要的防线。
- 安全意识培训:对于企业而言,定期对员工进行社会工程学和安全意识培训至关重要。通过模拟钓鱼演练,让员工亲身体验并学习如何识别钓鱼攻击。
5.3 从本次实验中学到的关键点
回顾整个项目,我们不仅仅是学会了SEToolkit的几个命令,更重要的是理解了社会工程学攻击的一个完整链条:
- 侦察:攻击者需要选择一个目标(如Pikachu靶场)。
- 武器化:制作攻击载荷,在这里就是克隆一个钓鱼网站。
- 投递:通过某种方式让受害者访问钓鱼网站(实验中是我们主动访问,现实中可能是邮件、短信、社交消息等)。
- 利用:利用人的心理弱点(信任、疏忽、恐惧、贪婪)使其执行操作(输入凭据)。
- 安装:捕获敏感信息(凭据)。
- 命令与控制:攻击者从后台获取数据。
- 行动:利用窃取的凭据进行后续攻击(登录真实系统)。
理解这个链条(类似于洛克希德·马丁的“杀伤链”模型),能帮助我们从更高维度思考防御策略,而不仅仅是关注某个具体的技术点。
6. 常见问题与排查技巧实录
在实际操作中,你几乎一定会遇到一些问题。下面是我在多次搭建类似环境时踩过的坑和解决方案,希望能帮你快速排雷。
| 问题现象 | 可能原因 | 排查与解决步骤 |
|---|---|---|
访问http://[Kali-IP]显示Apache默认页,而非钓鱼页。 | 端口冲突。Kali自带的Apache服务 (apache2) 占用了80端口,SET启动的服务无法绑定。 | 1. 停止Apache服务:sudo systemctl stop apache2。2. 重启SEToolkit并重新配置钓鱼攻击。 3. 或者,在SET中尝试使用其他端口(如8080),但需要确保靶机访问时带上端口号 http://[Kali-IP]:8080。 |
| SEToolkit克隆网站时卡住或报错“无法连接”。 | 1. 输入的URL错误或不可访问。 2. 网络问题,Kali无法访问目标URL(尤其是外网)。 3. 目标网站有反爬机制。 | 1.首先检查URL:确保在Kali终端里能用curl或wget访问到目标URL,例如curl -I http://192.168.1.105/pikachu/login.php。2.使用本地靶场:对于学习和测试,强烈建议克隆本地网络内的目标,如我们搭建的Pikachu,避免网络波动和外部限制。 3. 如果必须克隆外网站,确保Kali网络通畅,并注意法律边界。 |
| 受害者提交表单后,SEToolkit后台没有捕获到数据。 | 1. 表单提交方式不是POST(可能是GET)。SET默认主要处理POST。 2. 钓鱼页面表单的 action修改未生效。3. 防火墙阻止了数据回传。 | 1. 检查原网站表单的method。SET对GET方式支持可能不完善。2. 查看钓鱼页面源代码,确认 <form action="...">是否指向了你的Kali IP(如http://[Kali-IP]/post.php)。3. 关闭Kali的防火墙临时测试: sudo ufw disable(测试完记得开启:sudo ufw enable)。4. 在SET运行终端查看是否有错误输出。 |
| 受害者点击登录后,页面报错或空白,没有重定向到真实网站。 | 1. 重定向配置错误。 2. 真实网站地址不可达。 3. SET的 post.php脚本执行出错。 | 1. 检查钓鱼页面源代码中的隐藏字段original_site值是否正确。2. 确保真实网站(如Pikachu)服务正常运行且受害者网络可访问。 3. 这通常不影响凭证捕获,数据可能已经记录。去 /root/.set/reports/下查看日志文件确认。 |
| 无法在物理机(靶机)上访问Kali的钓鱼网站。 | 1. 网络模式不对(如Kali是NAT模式)。 2. 物理机和Kali不在同一网段。 3. Kali防火墙阻止了80端口入站连接。 | 1.将Kali虚拟机网络适配器设置为桥接模式,并重启网络服务或虚拟机。 2. 在物理机和Kali上分别执行 ipconfig(Windows) /ifconfig(Linux) 命令,查看IP地址是否在同一网段(如都是192.168.1.x)。3. 临时关闭Kali防火墙: sudo ufw disable。或者放行80端口:sudo ufw allow 80/tcp。 |
| Pikachu靶场初始化安装失败或无法连接数据库。 | 1. MySQL/MariaDB服务未启动。 2. 数据库配置信息 ( config.inc.php) 错误。3. 数据库用户权限不足。 | 1. 启动数据库服务:sudo systemctl start mariadb(或mysql)。2. 检查 /var/www/html/pikachu/inc/config.inc.php文件,确保数据库主机、用户名、密码与创建时一致(如dbhost='localhost',dbuser='pikachu',dbpwd='pikachu',dbname='pikachu')。3. 登录MySQL,确认用户和权限: sudo mysql -u root -p,然后执行SELECT Host, User FROM mysql.user;和SHOW GRANTS FOR 'pikachu'@'localhost';。 |
最后再分享一个小技巧:在实验过程中,多开几个终端标签页非常有用。一个用来运行SEToolkit,一个用来监控捕获的日志 (tail -f),一个用来管理服务(启停Apache/MySQL),还有一个用来进行网络测试(ping,curl)。这样信息一目了然,排查问题效率倍增。这套环境搭建和测试流程,本质上是一个微型的“红队”攻击模拟。理解它,不仅能让你掌握SEToolkit这个工具,更能让你建立起社会工程学攻击与防御的立体认知。记住,所有技术都应在合法、合规和道德的前提下使用,用它们来加固你的系统,而不是去破坏。