• 注册
  • 威胁情报 威胁情报 关注:45 内容:46

    【HW前知识库储备】红队渗透手册之钓鱼篇

  • 查看作者
  • 打赏作者
    • 威胁情报
    • Lv.1

      <span style="max-width: 100%;font-family: " open="" sans",="" "clear="" "helvetica="" neue",="" helvetica,="" arial,="" sans-serif;orphans:="" 4;white-space:="" pre-wrap;box-sizing:="" border-box="" !important;word-wrap:="" break-word="" !important;overflow-wrap:="" !important;word-break:="" break-all="" !important;"="">没0day,靠社工。本篇主要整理了一下公开渠道的几种实用性稍强的钓鱼手法和工具。社工钓鱼命题太大,难免疏漏,如有不足,还望海涵。基本都是常规操作加一点小技巧, 本文涉及所有信息均是公开信息, 部分手法均分析过或实践过,  如有错误欢迎【斧】正, 如有补充也欢迎评论留言。

      0x01 邮件钓鱼

      一、窃取口令类

      用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。

      策略说明:

      1、搭建钓鱼站需考虑时间成本和队伍的代码功底等各种因素,使用SpoofWeb和setoolkit速度最快,httrack仿真度最高,但是要记录访问者的输入需要修改相关文件,成本较高。

      2、通过Swaks伪造邮件(或其他方式)发送社工邮件(批量或定向)。

      3、几个重要因素:仿造的站点目标、目标人群、话术。漂亮的战术制定往往比技术点的抉择更重要。例如19年底到现在盛行的裸聊诈骗套路,通过人性的弱点,效果显著。再例如几个月前的某次演练,某司队伍通过反代钓鱼的手法,成功的拿到了目标的类似云主机管理系统的web账号密码,接管一堆虚拟云主机。

      搭建钓鱼网站相关参考:

      1、一键部署HTTPS钓鱼站

       链接

      2、nginx做反向代理-钓鱼

       链接

      3、克隆网站神器httrack

       链接

      4、社会工程学工程包

       链接

      5、setoolkit的安装与使用

       链接

      6、flash的钓鱼页

       链接

      邮件伪造参考:

      1、Swaks伪造邮件

       链接

      2、Swaks - Swiss Army Knife for SMTP

       链接

      实例参考:

      1、记一次真实的邮件钓鱼演练

       链接

      二、附件携马类

      用伪装的电邮(不限于常见邮件,一些内部的oa,erp,或其他供员工使用交流带附件功能的系统亦可),附件携带excel宏病毒,或快捷方式类木马,亦或捆绑在正常软件中的木马等,发送给目标,策略和窃取口令类似。不推荐excel方式,wps占据了国人大部分系统。

      经验分享:

      各类OA系统的漏洞都被修补无法getshell的情况下,一定不要放弃它,例如seeyon,一个弱口令进OA,再提取其他用户的username再跑一发弱口令,通过收集用户平时工作来往信件,针对其他人与该账号平时的工作内容制定话术,定向钓鱼。例如在某次的项目中,我们通过一个普通员工弱口令进入了该司一个客服系统,通过信息收集发现上面有网管用户和普通客服人员,通过附件携马的方式成功钓到管理员,在后续的深入中就方便多了。

      免杀推荐:

       链接

      捆绑推荐:

       链接

      字典推荐:

       链接

      精彩爆破案例:

      一次稍显曲折的爆破经历

       链接

      其他推荐:

      鱼叉攻击-炮轰马的制作

       链接

      0x02 XSS-Phishing

      一、简述

      XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

      二、XSS钓鱼

      在hw需求面前,没有0day,找不到入口点的情况下,可以安排一名擅于xss挖掘的队员利用此种方式。

      使用xss弹窗提示钓鱼的时候面临的问题,如果鱼儿已上线,访问者还会持续不断的弹窗,容易引起鱼儿怀疑,

      权限说没就没了,这并不是我们希望看到的结果。

      参考文章

      XSS实例及挖掘方法

       链接

      红队攻防系列之花式鱼竿钓鱼篇

       链接

      参考工具

      XSS-Phishing

       链接

      XSS-Fishing2-CS

       链接

      策略补充:此类手法不仅可以运用于在挖到xss时使用,在有webshell的情况下,还可以修改相关代码,嵌入js文件进行对个人PC的钓鱼,例如某类有运维维护的站点,通过这种方式钓运维PC,运维PC上的东西可比自己打server机慢慢探索来得迅速透彻。

      0x03 BadUsb

      一、简述

              BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。HID设备通常指的就是键盘鼠标等与人交互的设备,用户插入BadUSB,就会自动执行预置在固件中的恶意代码。

      Bad-Usb插入后,会模拟键盘鼠标对电脑进行操作,通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载其他代码并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。

      二、操作

              详细的制作操作过程不再累述,参考以下文章。

      BadUSB简单免杀一秒上线CobaltStrike

       链接

      Badusb初识

       链接

      BasUSB实现后台静默执行上线CobaltStrike

       链接

      策略补充

      1、摸索员工信息,例如某乎,某直聘,尽一切信息收集手段,采集员工信息(女性员工为宜)。

      2、某宝搜索购买该司员工工牌,并制作。

      3、制作badusb,并将U盘贴上一些符合女性审美的贴纸之类,将其挂载工牌上。

      4、为了保险起见,设置第二个备用方案,例如,利用快捷方式的手法,找一张男女暧昧的图片用来制作快捷方式的图标,名字取名为“初夏之夜.mp4”,将该文件放在名为“甜蜜时刻”文件夹下,文件夹下再放几张网络“茶图”,不带脸的那种,再设置一个隐藏属性的文件夹,里面存放自己的免杀马。

      Attrib +s +a +h +r 命令介绍:显示或更改文件属性ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]+设置属性;-清除属性;R只读文件属性;A存档文件属性;S系统文件属性;H隐藏文件属性;

      现在,我们把这个U盘+工牌伪造成了某一个女性员工的物品,并在其中存放了一些令人感兴趣的东西,想象一下,如果将其投放在该司某一个地方,被员工拾遗,会出现什么样的情况。。。

      参考链接

      新型远控木马上演移形换影大法

       链接

      Windows的12种快捷方式

       链接

      红队活动之Lnk样本载荷篇

       链接

      0x05 最后

      社工几个基础点:1、信息收集  2、绘制人物画像  3、指定战术。在实战中应将社工钓鱼融入渗透的各个环节。高质量的针对某类个体钓鱼往往比批量海钓的效果来的更出色。

      一篇精彩的实例社工

      反诈案例|诈骗团伙冒充领导开口就要98w

       链接

      附上史上最动听最经典的原版音频:有主机上线请注意

      本文来自: 链接

      请登录之后再进行评论

      登录
    • 发表内容
    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: