The Social-Engineer Toolkit
29 septiembre 2012 
48 Comentarios
The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, esta programado en Python por David Kennedy (ReL1K), quien hace poco publicó su versión 4.0 con grandes cambios y por esta razón, decidimos que era momento de dedicarle un articulo a esta excelente herramienta dentro de nuestra comunidad.
En este articulo exploraremos las principales opciones del The Social-Engineer Toolkit, ademas de las nuevas características que se incorporaron al SET en su versión 4.0:
Iniciando el The Social-Engineer Toolkit
SET es multiplataforma, y solo necesitamos tener instalado el interprete de Python para ejecutarlo y ejecutarlo con ./set o Python set en la carpeta donde lo tengamos guardado (las dependencias que no tengas, las descargará automáticamente).
Al iniciar el SET, lo primero que vemos es un menú que nos ofrece una gran cantidad de opciones para lanzar nuestro ataque de ingeniería social, desde la creación de correos fraudulentos, paginas que al visitarlas infecta tu maquina, archivos multimedia que permite obtener acceso al equipo de la víctima, la posibilidad de enviar correo masivo, crear un CD/DVD o memoria USB que infecte la maquina y hasta enviar mensajes de texto que nos ayude en nuestra tarea.
Sistema de Phishing en el The Social-Engineer Toolkit
El sistema de creación de phishing en el SET es bastante completo, nos permite generar automáticamente un sitio falso con el cual engañar a los destinatario o enviar enviar de forma masiva correos con adjuntos maliciosos que permiten el acceso remoto de su maquina.
Vector de Ataque Web en el The Social-Engineer Toolkit
SET también permite realizar ataques automáticos a un usuarios que ingrese (por medio de ingeniería social) a una dirección que tu le especifiques (ahora lograr esto es mucho mas fácil gracias a los acortadores de direcciones), SET se encarga de subir el servidor y realizar el ataque que le especifiques (un applet de java, ataques múltiples, o tabnabbing entre otros…) que te devolverá una shell en el equipo víctima.
Creación de Medios Infectados en el The Social-Engineer Toolkit
Permite crear un archivo que se conecte remotamente a nuestra maquina, ofreciéndonos una shell del sistema y se ejecute en el equipo remoto al introducirse una memoria/disco duro USB, o un disco DVD/CD aprovechando el “autorun” de windows .
Generar ejecutable con Payload en el The Social-Engineer Toolkit
SET también permite (con la ayuda de metasploit framework) generar un ejecutable que se conecte remotamente a nuestra maquina, una vez lo abran en la maquina víctima, permitiéndonos configurar una gran cantidad de shells, entre ellas la famosa meterpreter, shells ciegas de windows, shells remotas y todo esto para procesadores a 32 y 64Bits
Ataques por Correo en The Social-Engineer Toolkit
En esta completa suite para hacer ataques de ingeniería social, se incluye una sección especialmente dedicada al correo electrónico, permitiendo enviar correos falsos o desde una cuenta gmail, a una o muchas personas.
Ataques con dispositivos Personalizados en el The Social-Engineer Toolkit
Los dispositivos Teensy son todos aquellos aparatos en los que se ha utilizado la tableta programable Teensy en su elaboración, al ser altamente personalizable y programable se puede emplear en procesos de auditorias en seguridad como ya nos ha mostrado IronGeek en la defcon 18 y SET nos facilita la tarea al programar estos dispositivos, ofrecernos rutinas que al conectar un dispositivo de estos nos podría poner a bajar una aplicación externa o ingresar a un sitio especifico y aceptar un applet de java, infectandonos en el proceso.
Falsificando Mensajes de texto en el The Social-Engineer Toolkit
Uno de los vectores de ataques mas eficientes a los que tenemos acceso con el SET, es el de envío de SMS (mensajes de textos) falsos, con los que podemos suplantar el numero telefónico que envía el mensaje, haciéndole pensar al receptor que efectivamente esa persona es quien le ha escrito, también incluye una opción para el envío masivo de SMS, por lo que podríamos enviar el mensaje a un mayor numero de destinatarios sin problema (la posibilidad de envíos a teléfonos fuera de estados unidos, depende de la disponibilidad del servicio por parte de las empresas prestadoras SohoOS, Lleida.net, SMSGANG).
Actualizando Metasploit y The Social-Engineer Toolkit
El SET esta ligado fuertemente al metasploit Framework, ya que muchas de sus funcionalidades las saca de este, por tanto incluye la posibilidad de actualizarlo desde su propia interface, así como incluye un actualizador para el mismo (recomendable que lo hagas cada que inicies el programa).
Los dejo con el video de presentación de la versión 4.0 del Social Engineer Toolkit, donde pueden apreciar otras funcionalidades incorporadas en esta versión.
Nuevas funciones en SET 4.0:
- Encrypted Payload.
- Obfuscation Everywhere.
- PyInjector
- Configurable ShellCod Payloads
- Dell DRAC Attack Vector
- New Tennsy Payloads
- Randomized Payload Droppers
- Rewritten Java Applet
- Rewritten Web Cloner
- Improved Reapeater
- IE Zero Day etc …
Descargar el The Social-Engineer Toolkit
Mas Información:
Pagina Oficial de SET
Manual Oficial de SET
Manual de SET en el Metasploit Unleashed
Si te ha gustado el post, compartelo y ayudanos a crecer.
También puede interesarte...
¡
!
Increible .. si el spoofing de SMS funcionara en territorio español … sigue siendo una bomba de herramienta, muchas gracias compañeros ^^
De ello si funciona puesto la herramienta hace uso de sitio como lleyda para el envio de sms ! podes mirar aqui !SohoOS u otros servicios similares a este …Xd
Como puedo obtener esta herramienta?
la herramienta la puedes obtener directamente desde el sitio,mencionada en la parte baja , !#!aprovecho para pedir colaboracion con la traduccion del material que nos brinda socialengineering.org si a alguna persona le queda tiempo libre no dude me pueden encontrar en el irc de backtrack-es o en el de la comunidad . Nos encontramos traduciendo el material al espa;ol especificamente la parte de Framework SE .
Me parece una buena iniciativa, sin embargo, quiero comentarte que la traducción del Framework se encuentra en el libro publicado en castellano.
Esto es exactamente lo que necesito para el curso que quiero organizar para mi círculo.
Gracias, saludos desde México.
Al parecer los links para descargar están deshabilitados.
Yo lo baje de aca
http://www.secmaniac.com/download/ ….. alguien puede decirme si le funciona “SMS Spoofing Attack”…… Le agradeceria su ayuda
Es para plataforma linjux o windows..??
o es vía web..?
Gracias
es multiplataforma, puedes correrlo tanto en windows, como linux y mac
Danny, que errores te salen…
Hola Dragon te sigo desde 2003 hace tiempazoo.. perdí el contacto y ahora estoy de vuelta, dime una vez descargado este paquete debo correr xamp o wamp para que funcione– tengo windows xp y me gustaría probarlo, saludos desde Perú…
si bajas el paquete de set encontraras un ejecutable para windows y un binario para los *nix, revisa bien y seguro podrás ejecutar el SET
http://pastebin.com/haSkFdBy ese error es del pdf pero segun la pagina que dan allí es por que tiene un .exe (de allí no se mas)
y el otro es
http://pastebin.com/iUx7tkYQ ese se queda congelado sin hacer nada y estoy siguiendo todos los pasos de sorthack en el videotuto
dejo de funcionar me parece
otra cosa… el phishing no funciona con la version ultima de firefox (la 3.6.13)
solo funciona con la 3.5 =(
Hola quiero desinstalarlo pero no puedo alguna guia para eliminar set? …
funciona con conexion emobile? 3g banda ancha .
gracias espero respuestas quiero eliminarlo por ahora
yo estaba intentando usar el Credential Harvester. Pero no tengo ninguna opcion que se llame asi. Asi que use el Java applet attack dejando que el Set clonara un sitio web. Me pide mi numero IP se lo doy y ya que esta clonando el sitio e inserta el ataque me dice:
[Errno 2] No such file or directory: “src/web_clone/site/template/index.html”
como arreglo eso?
Hola. Soy absolutamente nuevo en esto, así que os solicito orientación con la mayor humildad.
Me he descargado el SET de http://www.secmaniac.com/files/set.tar.gz
y tengo el Python 2.1.
Al descomprimir el set.tar.gz hay varias carpetas y varios archivos sin extensión (set, set-automate, set-update y set-web).
Desde Inicio voy a Python 2.1. y hay varias opciones para abrir:
- IDLE (Python GUI)
- Modlule docs
- Python (Command lines)
- Pythonwin
pero no sé cuál usar.
Me he puesto a buscar por las carpetas descomprimidas de set.tar.gz y he encontrado algunos archivos .py Al clickear 2 veces me aparece una ventana negra durante medio segundo y luego desaparece. Y nada más.
Sí, lo sé, soy un negado y un ignorante. Eso es lo primero que he reconocido.
¿Me ayudáis?
tenes que ejecutar desde consola en la carpeta donde se encuntra el python
y despues desde hay: python.exe set.py
que buena herramienta¡
hola soy nuevo en esto y no encuentro y me salta un error al querer hacer un procedimiento de clonar una web me sale este mensaje, me gustaria que me pudieran ayudar en esto
touch: no se puede efectuar `touch’ sobre «src/logs/set_logfile.log»: No existe el fichero o el directorio
Something went wrong, printing the error: [Errno 2] No such file or directory: ‘src/program_junk/attack_vector’
No se descarga el software, de los links sugeridos se queda en 44,4MB de los 44,5MB …alguien me podria ayudar por favor
wawww….cada vez que veo un proyecto asi prrogramado en mi idioma natal (python), me hace valorar mas y mas este lenguaje, lo cual demuestra que se puede hacer lo que se te venga a la mente…………
hasta un sistema operativo es posible en python con la implementacion de la biblioteca cython…..
Deberia haber un tuto para ejecutar esta herramienta desde windows porque a mi python no me reconoce los archivos del set
Hola despues de dar el comando
sudo ./set
Me sale esto
[!] Metasploit path not found. These payloads will be disabled.
[!] Please configure in the config/set_config. Press {return} to continue
[!] ERROR:PExpect is required in order to fully run SET
[!] Please download and install PExpect: http://sourceforge.net/projects/pexpect/files/pexpect/Release%202.3/pexpect-2.3.tar.gz/download
set> Would you like SET to attempt to install it for you? [yes|no]:
le doy yes y me
aparece esto
[-] Installing Pexpect
/bin/sh: wget: command not found
tar: Error opening archive: Failed to open ‘pexpect-2.3.tar.gz’
/bin/sh: line 0: cd: pexpect-2.3/: No such file or directory
[*] Your not running a Debian variant. Installer not finished for this type of Linux distro.
[*] Install subversion, python-pexpect, python-beautifulsoup, python-crypto, python-openssl, python-pefile manually for all of SET dependancies.
[*] Finished… Relaunch SET, if it doesn’t work for you, install manually.
Es que x la version de Python que tengo?.. que no me funciona?
Me podrian orientar en esto por favor… y saludos!!
ya hiciste esto…
[!] ERROR:PExpect is required in order to fully run SET
[!] Please download and install PExpect: http://sourceforge.net/projects/pexpect/files/pexpect/Release%202.3/pexpect-2.3.tar.gz/download
Hola Dragon,seria bueno que nos pudieses explicar como se hace un ataque en Wan, no basta solo con poner auto_detection=OFF seria bueno que nos pudieses dar una mano, como se podria configurarlo con no-ip, si hace falta port/forwarding etc. Muchas Gracias
excelente información, gracias DragoN por compartirla.
Alguien sabe el Nombre de las canciones de fondo???
DragoN
necesito tu ayuda,y me podes responder algunas preguntas porfaVor?
1.- como descargo la aplicacion?
2.- cuanto pesa la descarga completa
de SET V. 3.0? ya q descarge un archivo que pesa 4.6 mb, y me tiraba un trojano.
TENGO UBUNTU EN MI PC, el link de descarga es este:
root@fortress:/pentest/exploits/# svn co http://svn.secmaniac.com/social_engineering_toolkit set/
PERO ESTOY PERDIDO Y NO se COMO DESCARGARLO. TE AGRADECERIA TU AYUDA.
Esto podrias facilmente ejecutarlo desde Backtrack 3 no ???
Poniendo el commando ” cd ” ubicacion del arcivo “
Hola
Soy yo de nuevo, con un problema.
Cuando ejecuto Backtrack 3 entro en la consola y pongo “cd y la localizacion del SET ”
Me lo ejecuta, pero luego cuando pongo este comando del SET Menu’s del manual
/pentest/exploits/set# ./set
No me lo lee, me da error, a que se debe
Gracias
intenta en lugar de ./set poner solo set
Hola, por favor alguien me de el link de descarga … ya que los sugeridos estan caidos.
muchas gracias
Esta en backtrack 5
Hola.
Disculpen soy nuevo en esto y no tengo ni idea como empezar… ya tengo descargado el interprete python y el SET (C:\SET\ – C:\Python27\) Mi pregunta es como ejecuto el set ? …gracias. [email protected]
Que tal gente!!! como consigo dicha herramienta porque voy a la direccion y me no lo encuentra….Cual es el truco? o ya funco esto….:(
Hola… por favor quiero bajar el material pero me sale un error de pagina >>> The requested URL /download/ was not found on this server.
Muy buena herramienta,siempre trabajo con ella por lo intuitiva y fácil.
creo que lo pueden descargar de por acá … https://github.com/trustedsec/social-engineer-toolkit