如何使用thief_raccoon提升安全意识并了解2FA和密码的重要性

2024-08-19 108 0

关于thief_raccoon

thief_raccoon是一款专为教育目的而设计的工具,用于演示如何在各种操作系统上进行网络钓鱼攻击测试。该工具旨在提高人们对网络安全威胁的认识,并帮助用户了解 2FA 和密码管理等安全措施的重要性。

功能介绍

1、针对 Windows 10、Windows 11、Windows XP、Windows Server、Ubuntu、Ubuntu Server 和 macOS 的网络钓鱼模拟测试;

2、捕获用户凭证以进行教育演示;

3、可定制的登录屏幕,模拟真实操作系统;

4、全屏模式增强网络钓鱼模拟测试;

工具要求

1、Python 3.x;

2、pip(Python 包安装程序);

3、Ngrok(用于将本地服务器暴露给互联网);

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/davenisc/thief_raccoon.git

然后切换到项目目录中,运行下列命令安装Python虚拟环境:

cd thief_raccoon

apt install python3.11-venv

创建并激活虚拟环境:

python -m venv raccoon_venv

source raccoon_venv/bin/activate

使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

pip install -r requirements

工具使用

1、首先我们需要运行工具主脚本:

python app.py

2、选择网络钓鱼模拟的操作系统:

运行脚本后,您将看到一个菜单来选择操作系统。输入与您想要模拟的操作系统相对应的数字。

3、访问钓鱼页面:

如果您在同一个本地网络(LAN)上,请打开您的网络浏览器并导航到http://127.0.0.1:5000。

如果您想让网络钓鱼页面可通过互联网访问,请使用 ngrok。

Ngrok使用

首先,我们需要从 ngrok.com 下载 ngrok 并按照您的操作系统的安装说明进行操作。

然后将你的本地服务器暴露给互联网,并获取公共 URL:

运行上述命令后,ngrok 将为您提供一个公共 URL。与您的测试对象共享此 URL,以便通过互联网访问钓鱼页面。

如何在Linux上安装和配置Ngrok

curl -s https://ngrok-agent.s3.amazonaws.com/ngrok.asc \

   | sudo tee /etc/apt/trusted.gpg.d/ngrok.asc >/dev/null \

   && echo "deb https://ngrok-agent.s3.amazonaws.com buster main" \

   | sudo tee /etc/apt/sources.list.d/ngrok.list \

   && sudo apt update \

   && sudo apt install ngrok

运行以下命令将您的 authtoken 添加到默认 ngrok.yml

ngrok config add-authtoken xxxxxxxxx--your-token-xxxxxxxxxxxxxx

将您的应用放在临时域名上线并转发到您的上游服务。例如,如果它正在监听端口http://localhost:8080,请运行:

ngrok http http://localhost:5000

工具使用样例

运行主脚本:

python app.py

从菜单中选择 Windows 11:

Select the operating system for phishing:

1、Windows 10
2、Windows 11
3、Windows XP
4、Windows Server
5、Ubuntu
6、Ubuntu Server
7、macOS

Enter the number of your choice: 2

访问钓鱼页面:

打开浏览器并转到http://127.0.0.1:5000或 ngrok 公共 URL。

工具运行演示

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

thief_raccoon:【GitHub传送门

参考资料

https://davenisc.com/

https://ngrok.com/

相关文章:

  1. CSAF:一款结构化的网络安全意识框架
  2. 网络安全意识宣传的挑战与改进策略:提升公众防护能力的探索
  3. 攻防演练 | 从0开始实现一次完整的网络钓鱼(一)
  4. 关于Vearch在大模型中使用的一些实践
  5. 2024HW | 常见红队使用工具

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

苹果试图保护你的隐私,OpenAI可能做不到
Shuffle:一款完全自动化的安全栈增强平台
如何使用CODASM编码Payload并降低熵值
SessionExec:一款针对会话安全的安全命令测试工具
Arkime:一款大规模数据包捕获和索引数据库系统
从蓝队流量角度分析Shiro-550反序列化漏洞

发布评论