目录
- 演示案例:
- Ewomail&Swaks-邮件伪造发信人
- Ewomail-邮件系统-搭建&使用
- Ewomail&Gophish-邮件加网页钓鱼
- 网页钓鱼-克隆修改-二维码用户劫持
- 网页钓鱼-克隆修改-Flash升级后门上线
演示案例:
Ewomail&Swaks-邮件伪造发信人
发邮件的邮箱地址如果能伪造的话,是能够提高邮件钓鱼的成功率,我们看到是官方邮箱给我们发的邮件,很大几率会取性于邮件的官方性
我们采取下面两种方式进行伪造:
不存在SPF
可直接利用Swaks伪造任意发信人邮箱地址
但是大部分是存在SPF
1、采用其他主流邮件进行突破
网易163邮箱进行转发之后,给目标邮箱腾讯邮箱发送,显示来源为官方邮箱,但是会有一个问题,那就是全部会显示转发的一个情况
我们发送邮件过多的话,如果他有检测到你用这个邮件专门做坏事,就是不是一个正常使用的规律,他会对你的邮件进行查封
2、采用第三方邮件系统进行突破
已演示:sedcloud
smtp2go(速度慢但免费发送量大)
SendCloud(述度快但免费发送量少)
https://www.smtp2go.com/
https://www.sendcloud.net/
用第三方的要收费
Ewomail-邮件系统-搭建&使用
3、采用自己搭建Ewomail配合Swaks
-转发地址域名由你指定注册
-不受限于其他系统的限制和风控
http://doc.ewomail.com/docs/ewomail/jianjie
https://blog.csdn.net/u012866532/article/details/123335529
我们前期准备的域名要跟我们的目标保持高度的相似性;
服务器的购买绝对不要买阿里云和腾讯云的,因为要解除25端口的限制要包年的才可以,阿里云的甚至要申请;
国内购买的域名要备案才能使用,建议大家使用香港和境外的服务器
swaks --to 471656814@gg.com -f admin@testxiaodi.fun --data test.eml --server
smtp.testxiaodi.fun -p 25 -auadmin@testxiaodi.fun -ap ewomail123
#优化平台-内容&钓鱼&批量-Gophish
https://github.com/gophish/gophish
1、使用己知邮箱系统
2、自建域名邮箱系统
Ewomail&Gophish-邮件加网页钓鱼
克隆:
1、手工另存为
2、Setoolkit
3、Goblin
https://github.com/xiecat/goblin
https://github.com/trustedsec/social-engineer-toolkit
修改:
1、网页代码-逻辑修改
2、EXE后门-资源修改
网页钓鱼主要是克隆修改,就是相当于在你本地起一个流量的中转,他访问的还是jd.com,这就是为什么他的页面特别逼真就像真的一样
网页钓鱼的作用就是截获用户账号密码,控制目标的电脑上线,主要就是看攻击者的目标,或者是什么邮件引起的,如果是发一封打补丁的,那就涉及到文件后门的问题,我发一封商城的,那就是对你的账号感兴趣
一般邮件钓鱼会配合网页钓鱼会来的更真实,如果只是邮件钓鱼,而我不认识发件人,那我一般是不会去打开邮件的附件的
网页钓鱼-克隆修改-二维码用户劫持
把二维码固定死,不管他怎么刷新
代码修改:
显示二维码url地址
1、钓鱼页面的二维码,来源是由攻击方的二维码产生的修改钓鱼页面,固定好的二维码的url路径
2、攻击方的二维码,来源是由钓鱼页面的二维码产生的,修改钓鱼页面,固定好二维码的url路径
相当于攻击者在自己浏览器开一个登录页面,然后看一下二维码链接是否和调研二维码地址链接保持一致,只要对方扫码了,这边登录了,我们就会搞到请求
网页钓鱼-克隆修改-Flash升级后门上线
Flash有时候在播放动画的时候会提示我们下载
模拟比较上线的后门,把后门自带修改,模拟成真实的这种图标的后门同时进行免杀
以什么理由让对方去下载文件,这个是很重要的,像一些内部部门的话,就是安装和更新一些补丁,或者给对方发送一个动画视频,这个动画视频是不能播放的,类似于gif图片,刚好动画里面有显示你的播放器是坏的,点进去要它更新播放器,然后更新的播放器就是你本地的
发送一个邮件内容、gif动态图片、动画视频、flash格式、动画制作,本身就播放不了,为了诱惑性在动画提示需要更新flash对方点击动画,来到了钓鱼页面(官方的flash网站))下载更新文件(免杀后门)
邮件钓鱼技术难度点在于,你怎么让对方相信你,这才是它的关键所在,这也是为什么称之为APT社会工程学的原因,我们要掌握对方的信息,以对方感兴趣的东西去钓它
