使用Social-Engineer Toolkit进行钓鱼邮件攻击演练 | Advent of Cyber 2025 Day 2 技术解析

Advent of Cyber 2025 Day 2 | TryHackMe | 钓鱼攻击 — Merry Clickmas | 技术解析

学习如何使用Social-Engineer Toolkit发送钓鱼邮件

技术背景概述

鉴于最近针对最佳节日公司（TBFC）的几起网络安全威胁，本地红队安排了多次渗透测试。红队成员对TBFC进行了常规渗透测试，该测试的部分内容是确保员工在点击链接时保持警惕，并确保公司能够有效防御最新的钓鱼攻击。这种授权形式的钓鱼测试是验证网络安全意识培训是否取得成效的有效方法。

红队技术架构

在本任务中，你将作为TBFC本地红队的一员，与Recon McRed、Exploit McRed和Pivot McRed等安全专家合作。你需要协助他们规划和执行钓鱼攻击活动，以确定是否需要进一步加强网络安全意识培训。

核心技术工具：Social-Engineer Toolkit

本次演练将使用Social-Engineer Toolkit（SET）这一专业的社会工程学攻击框架，主要涉及以下技术环节：

1. 钓鱼攻击向量配置
   • 邮件发送代理设置
   • 钓鱼页面模板定制
   • 目标邮件列表构建
2. 攻击执行流程
   • 通过SET生成仿真的钓鱼邮件
   • 配置邮件跟踪机制以监控用户交互
   • 收集和分析攻击成功率数据

任务配置要求

Task 1 环境准备

• 已成功启动AttackBox（攻击机）
• 目标机器已就绪并可访问

Task 2 TBFC钓鱼演练

该部分涉及实际的技术操作，包括：

• 配置SET工具的基本参数
• 构建符合企业场景的钓鱼邮件模板
• 实施受控的钓鱼攻击测试

通过此次技术演练，红队能够评估现有安全控制措施的有效性，识别安全意识培训中的薄弱环节，并为后续的安全改进提供数据支持。

CSD0tFqvECLokhw9aBeRqpnmu6AImIyEfefL6NB2nX/QId/aAWhJxU2o53GhPhYSxicEM5zDAow93JncDkhFcoht+UqeVQhis93I154Wu04z5xovlBAB5MCZ7/jyew+HRHjH+WjgGaoEEVZ88Q5cAQ==