0x01 邮件钓鱼
一、窃取口令类
用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。
策略说明:
1、搭建钓鱼站需考虑时间成本和队伍的代码功底等各种因素,使用SpoofWeb和setoolkit速度最快,httrack仿真度最高,但是要记录访问者的输入需要修改相关文件,成本较高。
2、通过Swaks伪造邮件(或其他方式)发送社工邮件(批量或定向)。
3、几个重要因素:仿造的站点目标、目标人群、话术。漂亮的战术制定往往比技术点的抉择更重要。例如19年底到现在盛行的裸聊诈骗套路,通过人性的弱点,效果显著。再例如几个月前的某次演练,某司队伍通过反代钓鱼的手法,成功的拿到了目标的类似云主机管理系统的web账号密码,接管一堆虚拟云主机。
搭建钓鱼网站相关参考:
1、一键部署HTTPS钓鱼站
htts://github.com/klionsec/SpoofWeb
2、nginx做反向代理-钓鱼
https://www.cnblogs.com/R4v3n/articles/8460811.html
3、克隆网站神器httrack
https://github.com/xroche/httrack
4、社会工程学工程包
https://github.com/trustedsec/social-engineer-toolkit
5、setoolkit的安装与使用
https://www.cnblogs.com/zhangb8042/articles/10910019.html
6、flash的钓鱼页
https://github.com/r00tSe7en/Fake-flash.cn
邮件伪造参考:
1、Swaks伪造邮件
https://payloads.online/archivers/2019-05-09/1
2、Swaks - Swiss Army Knife for SMTP
http://www.jetmore.org/john/code/swaks/
实例参考:
1、记一次真实的邮件钓鱼演练
https://xz.aliyun.com/t/5412
二、附件携马类
用伪装的电邮(不限于常见邮件,一些内部的oa,erp,或其他供员工使用交流带附件功能的系统亦可),附件携带excel宏病毒,或快捷方式类木马,亦或捆绑在正常软件中的木马等,发送给目标,策略和窃取口令类似。不推荐excel方式,wps占据了国人大部分系统。
经验分享:
各类OA系统的漏洞都被修补无法getshell的情况下,一定不要放弃它,例如seeyon,一个弱口令进OA,再提取其他用户的username再跑一发弱口令,通过收集用户平时工作来往信件,针对其他人与该账号平时的工作内容制定话术,定向钓鱼。例如在某次的项目中,我们通过一个普通员工弱口令进入了该司一个客服系统,通过信息收集发现上面有网管用户和普通客服人员,通过附件携马的方式成功钓到管理员,在后续的深入中就方便多了。
免杀推荐:
https://github.com/Rvn0xsy/BadCode
https://github.com/1y0n/AV_Evasion_Tool
捆绑推荐:
https://github.com/TheKingOfDuck/MatryoshkaDollTool
字典推荐:
https://github.com/sry309/SuperWordlist
https://github.com/cwkiller/Pentest_Dic
https://github.com/TheKingOfDuck/fuzzDicts
精彩爆破案例:
一次稍显曲折的爆破经历
https://www.cnblogs.com/cwkiller/p/12741086.html
其他推荐:
鱼叉攻击-炮轰马的制作
https://mp.weixin.qq.com/s/3GLmtGoP-rG1nBBSw_KxkQ
0x02 XSS-Phishing
一、简述
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
二、XSS钓鱼
在hw需求面前,没有0day,找不到入口点的情况下,可以安排一名擅于xss挖掘的队员利用此种方式。
使用xss弹窗提示钓鱼的时候面临的问题,如果鱼儿已上线,访问者还会持续不断的弹窗,容易引起鱼儿怀疑,
权限说没就没了,这并不是我们希望看到的结果。
参考文章
XSS实例及挖掘方法
https://www.yuque.com/broken5/blog/vukwsh
红队攻防系列之花式鱼竿钓鱼篇
https://xz.aliyun.com/t/7958
参考工具
XSS-Phishing
https://github.com/timwhitez/XSS-Phishing
XSS-Fishing2-CS
https://github.com/TheKingOfDuck/XSS-Fishing2-CS
策略补充:此类手法不仅可以运用于在挖到xss时使用,在有webshell的情况下,还可以修改相关代码,嵌入js文件进行对个人PC的钓鱼,例如某类有运维维护的站点,通过这种方式钓运维PC,运维PC上的东西可比自己打server机慢慢探索来得迅速透彻。
0x03 BadUsb
一、简述
BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。HID设备通常指的就是键盘鼠标等与人交互的设备,用户插入BadUSB,就会自动执行预置在固件中的恶意代码。
Bad-Usb插入后,会模拟键盘鼠标对电脑进行操作,通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载其他代码并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。
二、操作
详细的制作操作过程不再累述,参考以下文章。
BadUSB简单免杀一秒上线CobaltStrike
https://mp.weixin.qq.com/s/UROx1fJOmMVbmH_-UasFEQ
Badusb初识
https://xz.aliyun.com/t/6435
BasUSB实现后台静默执行上线CobaltStrike
https://mp.weixin.qq.com/s/pH9hcKGQHIRMxU3uDN3JUw
策略补充
1、摸索员工信息,例如某乎,某直聘,尽一切信息收集手段,采集员工信息(女性员工为宜)。
2、某宝搜索购买该司员工工牌,并制作。
3、制作badusb,并将U盘贴上一些符合女性审美的贴纸之类,将其挂载工牌上。
4、为了保险起见,设置第二个备用方案,例如,利用快捷方式的手法,找一张男女暧昧的图片用来制作快捷方式的图标,名字取名为“初夏之夜.mp4”,将该文件放在名为“甜蜜时刻”文件夹下,文件夹下再放几张网络“茶图”,不带脸的那种,再设置一个隐藏属性的文件夹,里面存放自己的免杀马。
Attrib +s +a +h +r 命令介绍:
显示或更改文件属性ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]+设置属性;-清除属性;R只读文件属性;A存档文件属性;S系统文件属性;H隐藏文件属性;
现在,我们把这个U盘+工牌伪造成了某一个女性员工的物品,并在其中存放了一些令人感兴趣的东西,想象一下,如果将其投放在该司某一个地方,被员工拾遗,会出现什么样的情况。。。
参考链接
新型远控木马上演移形换影大法
https://www.freebuf.com/articles/system/138164.html
Windows的12种快捷方式
https://www.cnblogs.com/bkclover/p/4228441.html
红队活动之Lnk样本载荷篇
https://mp.weixin.qq.com/s/ZbtGJAT-SyZ50LRNOCg14w
0x04 小技巧演示
一、附件携马
二、捆绑携马
说明:以上所演示的两种实现均是从本文所列举的内容经过组合修改测试而成,不具有多少技术含量。
0x05 最后
社工几个基础点:1、信息收集 2、绘制人物画像 3、指定战术。在实战中应将社工钓鱼融入渗透的各个环节。高质量的针对某类个体钓鱼往往比批量海钓的效果来的更出色。
一篇精彩的实例社工
反诈案例|诈骗团伙冒充领导开口就要98w
https://mp.weixin.qq.com/s/KL6O6fqeKWue81VZTiYAFA