一個(gè)風(fēng)和日麗的下午�����,和平常一樣,審審漏洞�,然后逛逛其他相關(guān)的安全論壇,翻看其他大佬們的漏洞挖掘思路�,一天就這樣過(guò)去了,當(dāng)準(zhǔn)備要下班的時(shí)候����,發(fā)現(xiàn)微信一直響個(gè)不停,心里想完了(下班無(wú)望)��,看來(lái)又有新項(xiàng)目要開(kāi)始了�����,于是打開(kāi)微信��,果不其然�,自己猜對(duì)了�����。
郵件釣魚(yú)演練�,聽(tīng)到這幾個(gè)詞語(yǔ),一臉懵逼�,what����?�����?����?由于之前的工作一直都是以web挖洞為主,突然讓搞一個(gè)郵件釣魚(yú)�,可把我難住了,既然領(lǐng)導(dǎo)派下來(lái)的活����,硬著頭皮也得干,那就這樣吧�����,說(shuō)做就做����。
心里想,既然要搞郵件釣魚(yú)�����,那就先了解一下什么是郵件釣魚(yú),怎么在項(xiàng)目中快速搭建郵件釣魚(yú)環(huán)境以及完成釣魚(yú)郵件工作��。
背景:
目前越來(lái)越多的紅藍(lán)對(duì)抗中�����,釣魚(yú)郵件攻擊使用的越來(lái)越頻繁�����,也是比較高效打點(diǎn)的一種 方式�,常見(jiàn)的釣魚(yú)郵件攻擊一種是直接通過(guò)二維碼,內(nèi)嵌鏈接��、直接索要敏感信息等方式釣運(yùn)維人員���、內(nèi)部人員相關(guān)的管理賬號(hào)密碼,另一種通過(guò)攜帶exe����、execl、word等附件(附件中要么包含惡意 宏代碼��、要么是遠(yuǎn)控exe)的方式,誘導(dǎo)運(yùn)維人員��、內(nèi)部員工點(diǎn)擊相關(guān)的附件��,以達(dá)到控制運(yùn)維人員或者內(nèi)部員工電腦的權(quán)限��。但是一般項(xiàng)目中實(shí)施周期較短�,并且需要進(jìn)行數(shù)據(jù)統(tǒng)計(jì)等,因此本次主要介紹如何通過(guò)Gophish和EwoMail快速搭建郵件釣魚(yú)平臺(tái)并介紹一次實(shí)戰(zhàn)釣魚(yú)郵件場(chǎng)景����。
概念性的內(nèi)容介紹完了,那就開(kāi)始著手準(zhǔn)備相關(guān)郵件釣魚(yú)需要的環(huán)境吧�����。
購(gòu)買相近的域名(比如你需要針對(duì)某某公司進(jìn)行釣魚(yú)�,公司郵箱使用的是aaa@yeesd.com,則可購(gòu)買相類似的域名,如:yeeesd.com��,多了一個(gè)小寫(xiě)的e�,如果不仔細(xì)去看的話,一般員工會(huì)認(rèn)為該釣魚(yú)網(wǎng)站即是公司的官網(wǎng)地址)
2臺(tái)vps(1臺(tái)搭建郵件服務(wù)器��、1臺(tái)搭建Gophish)
Gophish的版本v0.9.0
EwoMai的版本v1.06
Gophish搭建
建議在centos7(windows中搭建gophish���,雖然比較方便����,但是如果買的vps不是高配版,建議不要在windows中搭建gophish�����,經(jīng)測(cè)試�����,太卡了) 在github上根據(jù)不同操作系統(tǒng)下載對(duì)應(yīng)版本即可�����,本次下載如下版本�。
gophish-v0.9.0-linux-64bit.zip
https://github.com/gophish/gophish/releases
解壓并啟動(dòng)。
mkdir -p /app/gophish
unzip gophish-v0.9.0-linux-64bit.zip -d /app/gophish/ &&
cd /app/gophish/
此時(shí)需要修改config.json,(如下是本次已經(jīng)修改完成的�����,之前的配置是127.0.0.1:3333)���。
80端口代表釣魚(yú)網(wǎng)站開(kāi)放的端口�;后臺(tái)管理頁(yè)面開(kāi)放的端口是3333�����,默認(rèn)的賬號(hào)和密碼是 admin/gophish。
后臺(tái)直接運(yùn)行,目前環(huán)境即搭建完成�。
進(jìn)行測(cè)試 首先訪問(wèn)釣魚(yú)頁(yè)面端口是否正常��,直接訪問(wèn)如下地址 http://x.x.x.x
后臺(tái)管理系統(tǒng)如下:
Gophish搭建完成。
EwoMail搭建
官網(wǎng)直接下載開(kāi)源的項(xiàng)目�。
此處直接按照官方文檔進(jìn)行一步步搭建以及配置域名即可(前期是先買好相關(guān)的相類似域名)�。
http://doc./docs/ewomail/install
碰到的坑如下:購(gòu)買域名以及搭建EwoMail的vps建議選擇國(guó)外廠商����,國(guó)內(nèi)由于種種的限制,會(huì)導(dǎo)致出現(xiàn)莫名奇妙的問(wèn)題����,最終搭建的效果如下所示:
新建相關(guān)的發(fā)件郵件地址即可。
至此目前已經(jīng)搭建完畢���,發(fā)現(xiàn)搭建成功后的Gophish是英文平臺(tái)�����,本人英文屬于比較菜的那種���,因此花費(fèi)了不少時(shí)間����,才熟悉了Gophish的基本使用����,那就先簡(jiǎn)單介紹一下具體的使用吧,一方面為了自己鞏固�,另一方面,也方便后續(xù)其他與我碰到相同項(xiàng)目的同事�����,能夠快上手搭建釣魚(yú)郵件平臺(tái)以及展開(kāi)釣魚(yú)郵件測(cè)試���。
進(jìn)行實(shí)戰(zhàn)釣魚(yú)測(cè)試時(shí)�����,需要提前配置好Gophish 該系統(tǒng)具有如下幾個(gè)功能����,均需要進(jìn)行配置。
| 功能 | 簡(jiǎn)述 |
|---|
| Dashboard | 儀表板���,查看整體測(cè)試情況 |
| Campaigns | 每次攻擊前需要配置一次 |
| Users & Groups | 用戶和用戶組(添加需要進(jìn)行釣魚(yú)的郵箱和相關(guān)基礎(chǔ)信息) |
| Email Templates | 電子郵件模板 |
| Landing Pages | 需要偽造的釣魚(yú)頁(yè)面 |
| Sending Profiles | 釣魚(yú)郵箱發(fā)送配置 |
Sending Profiles-郵箱配置
填寫(xiě)剛才新建的發(fā)送郵箱地址和用戶名。
配置完成后��,需要測(cè)試一下是否可正常發(fā)送郵件�,使用如下自帶的測(cè)試功能(Send Test Email)。
如下是我的QQ郵箱收到的測(cè)試郵件��。
注意點(diǎn): 此處需要注意的是Host處�����,不能采用smtp默認(rèn)端口:25端口����,因?yàn)榇蟛糠值脑茝S商因?yàn)?監(jiān)管要求,為防止郵件泛濫���,都將25端口禁用了�����,因此可采用帶有SSL的SMTP服務(wù)的端 口:465端口��。
Users& Groups-郵件用戶和組
此時(shí)就可以進(jìn)行下一步的配置���,設(shè)置要進(jìn)行釣魚(yú)攻擊的郵箱地址��,“ Users& Groups ”�����。
一般項(xiàng)目中或者真實(shí)測(cè)試中需要批量發(fā)送郵件��,因此可通過(guò)上傳CVS文件����,進(jìn)行批量添加����。
Email Templates-釣魚(yú)郵件模板
創(chuàng)建相應(yīng)的釣魚(yú)郵件模板 此處釣魚(yú)模板可直接進(jìn)行編輯,也可導(dǎo)入其他郵箱的模板����。
方式一:自己編輯����。
為了后續(xù)記錄郵件是否打開(kāi)����,可勾選上AddTrackingImage,它將會(huì)在發(fā)送的每份郵件源碼上插入一個(gè)唯一特定的隱藏圖片���,當(dāng)郵件被打開(kāi)時(shí)�,此隱藏圖片則也會(huì)被請(qǐng)求����,以此來(lái)檢測(cè)該郵件是否被打開(kāi)���,AddFiles則是給郵件添加附件����。如下是官方提供的其他可以使用的參數(shù)�����。
| ariable | Description |
|---|
| {{.RId}} | The target's unique ID |
| {{.FirstName}} | The target's first name |
| {{.LastName}} | The target's last name |
| {{.Position}} | The target's position |
| {{.Email}} | The target's email address |
| {{.From}} | The spoofed sender |
| {{.TrackingURL}} | The URL to the tracking handler |
| {{.Tracker}} | An alias for |
| {{.URL}} | The phishing URL |
| {{.BaseURL}} | The base URL with the path and rid parameter stripped. Useful for making links to static files. |
針對(duì)如上提供的參數(shù)進(jìn)行測(cè)試�����。
如下是收到的郵件結(jié)果。
可根據(jù)實(shí)際的釣魚(yú)場(chǎng)景使用合適的參數(shù)�,增加釣魚(yú)郵件內(nèi)容的真實(shí)性。
方式二:導(dǎo)入其他郵箱已有模板 首先將原有的郵件導(dǎo)出為eml格式��。
然后通過(guò)notepad++打開(kāi)����,復(fù)制所有的內(nèi)容。
默認(rèn)會(huì)選擇Change Links to Point to Landing Page��,將圖中鏈接替換成釣魚(yú)頁(yè)面鏈接�,點(diǎn)擊 import,即可成功導(dǎo)入�。
注意點(diǎn):
1、如果需要去統(tǒng)計(jì)哪些人點(diǎn)開(kāi)了釣魚(yú)郵件����,哪些人打開(kāi)了釣魚(yú)頁(yè)面,需要在釣魚(yú)郵件模板 中的html進(jìn)行更改和添加�����,在Text中進(jìn)行操作�,后續(xù)是無(wú)法正常進(jìn)行記錄的�。
2���、AddTrackingImage功能記錄不是很準(zhǔn)確����,僅作參考���,因?yàn)椴糠粥]件軟件會(huì)將郵件中插 入的隱藏圖片識(shí)別為惡意代碼�����,不允許顯示該圖片��,經(jīng)實(shí)際測(cè)試,大部分的郵件軟件不會(huì) 進(jìn)行攔截的�����。
Landing Pages-偽造釣魚(yú)頁(yè)面
配置好釣魚(yú)郵件后����,就可以通過(guò)LandingPages模塊來(lái)新建釣魚(yú)網(wǎng)站頁(yè)面,此處支持手寫(xiě) html文件�����,也可通過(guò)導(dǎo)入網(wǎng)站功能,針對(duì)目標(biāo)網(wǎng)頁(yè)進(jìn)行克隆����,克隆如下登陸頁(yè)面。
點(diǎn)擊Import Site�����。
效果如下所示�����。
將這兩個(gè)功能均選上CaptureSubmitted Data和CapturePasswords��,記錄受害者輸入的賬號(hào)和密碼�����。
Redirect to填寫(xiě)該頁(yè)面真實(shí)的地址����,方便受害者點(diǎn)擊完提交按鈕后,自動(dòng)跳轉(zhuǎn)至真正的網(wǎng)站。
Campaigns-釣魚(yú)測(cè)試
配置Campaigns����,填寫(xiě)Name、選擇釣魚(yú)郵件模板����、選擇釣魚(yú)網(wǎng)站模板、填寫(xiě)釣魚(yú)網(wǎng)站 URL�����、填寫(xiě)發(fā)件郵箱����、選擇受害者郵件組。
注意點(diǎn): 其中釣魚(yú)網(wǎng)站URL根據(jù)實(shí)際釣魚(yú)郵件測(cè)試情況��,填寫(xiě)對(duì)應(yīng)的地址�,本次由于使用的是 Gophish默認(rèn)的釣魚(yú)頁(yè)面,因此填寫(xiě)的是本服務(wù)器的地址����,(其中URL處為了真實(shí)的進(jìn)行釣魚(yú)�����,也可綁定類似的域名地址,建議使用國(guó)外的域名和云vps����,由于本次搭建環(huán)境時(shí),使用的阿里云的服務(wù)器和域名�����, 并且域名未進(jìn)行備案�����,導(dǎo)致綁定該釣魚(yú)頁(yè)面后�,阿里云直接識(shí)別,并提示需要備案后�����,釣魚(yú)網(wǎng)站才可正常使用�����,因此本次使用的是IP直接進(jìn)行訪問(wèn))�。
點(diǎn)擊Launch Campaign即可成功發(fā)起一次釣魚(yú)郵件攻擊測(cè)試��。
Dashboard-儀表板
通過(guò)如下查看釣魚(yú)郵件測(cè)試的實(shí)際情況�����。
當(dāng)點(diǎn)開(kāi)郵件后�����,查看gophish平臺(tái)�����,此時(shí)已經(jīng)有相關(guān)的打開(kāi)記錄��,Email Opened�。
當(dāng)點(diǎn)擊如下地址時(shí)��,則會(huì)直接跳轉(zhuǎn)至釣魚(yú)的頁(yè)面���。
類似于這樣的地址:
http://x.x.x.x/?rid=tSdIyGl
此時(shí)查看gophish平臺(tái)��,已經(jīng)有相關(guān)的記錄��。Clicked Link。
當(dāng)輸入完相關(guān)的賬號(hào)和密碼,則會(huì)跳轉(zhuǎn)至設(shè)置好的跳轉(zhuǎn)真實(shí)地址(以便受害者更加相信此地址是真實(shí)的地址)����,如下所示:
此時(shí)查看gophish平臺(tái),已經(jīng)記錄了相關(guān)的賬號(hào)和密碼����。
可通過(guò)Export CSV功能將目前的釣魚(yú)情況結(jié)果導(dǎo)出來(lái)。
導(dǎo)出的釣魚(yú)測(cè)試結(jié)果如下所示:
至此已經(jīng)完成相關(guān)簡(jiǎn)單釣魚(yú)郵件測(cè)試的需求�。
小記:一些簡(jiǎn)單的釣魚(yú)郵件場(chǎng)景均可通過(guò)此平臺(tái)完成,也可與其他平臺(tái)進(jìn)行結(jié)合使用����。
可能gophish的偽造釣魚(yú)頁(yè)面功能無(wú)法滿足需要,也可自己搞個(gè)釣魚(yú)頁(yè)面服務(wù)器����,然后將Campaigns功能中的URL處填寫(xiě)自己構(gòu)造的釣魚(yú)頁(yè)面地址即可。
常見(jiàn)基礎(chǔ)釣魚(yú)使用場(chǎng)景
場(chǎng)景一
通過(guò)模仿領(lǐng)導(dǎo)郵件��,去釣運(yùn)維人員����、內(nèi)部人員相關(guān)的個(gè)人賬號(hào)或者身份證等敏感信息。
場(chǎng)景二
以最近某段時(shí)間的最新時(shí)事展開(kāi)釣魚(yú)����,比如:前段時(shí)間新冠肺炎疫情��,可以以它為一個(gè)釣魚(yú)點(diǎn)����,發(fā)送相關(guān)的釣魚(yú)郵件�����,獲取員工相關(guān)賬號(hào)和密碼����,或者員工的個(gè)人敏感信息,如姓名��、身份證號(hào)�����、家庭住址�����、家庭情況等敏感信息���。
例1:
例2:
其中附件也可為word�����,word中攜帶包含惡意宏代碼���,誘導(dǎo)用戶點(diǎn)擊,達(dá)到控制個(gè)人PC機(jī)的目的�。
場(chǎng)景三
根據(jù)最新爆發(fā)的漏洞,然后以偽造公司安全運(yùn)維管理部門的釣魚(yú)郵箱給全體員工發(fā)送為防范最 新漏洞��,現(xiàn)已將最新漏洞補(bǔ)丁通過(guò)郵件附件形式發(fā)放����,需要大家下載附件中最新漏洞補(bǔ)丁(exe為免殺的遠(yuǎn)控木馬等)如:
場(chǎng)景四
偽造公司服務(wù)器被攻擊等理由進(jìn)行郵件釣魚(yú)攻擊����。
如:
此處提前構(gòu)造相類似的郵件平臺(tái)。
場(chǎng)景五
構(gòu)造釣魚(yú)二維碼�����,誘導(dǎo)員工掃描釣魚(yú)二維碼��,釣員工相關(guān)的賬號(hào)和密碼。
掃描完之后�����,跳轉(zhuǎn)至釣魚(yú)頁(yè)面(本次僅嵌入baidu.com搜索頁(yè)面做驗(yàn)證)�����。
既然介紹了這么多基礎(chǔ)知識(shí)���,那就開(kāi)始進(jìn)行實(shí)戰(zhàn)釣魚(yú)郵件演練唄����,首先通過(guò)上述的釣魚(yú)場(chǎng)景��,構(gòu)造了一個(gè)模仿領(lǐng)導(dǎo)郵件�����,去釣運(yùn)維人員��、內(nèi)部人員相關(guān)的個(gè)人賬號(hào)或者身份證等敏感信息�����。
通過(guò)Gophish發(fā)送成功后,那就靜靜的等魚(yú)兒上鉤唄����。
等呀等,一直等了快1個(gè)小時(shí)�����,發(fā)現(xiàn)沒(méi)有任何反應(yīng)�����,看來(lái)員工的安全意識(shí)還是不錯(cuò)呀��,第一份郵件�����,以失敗告終����。
既然這種類型的郵件����,發(fā)送不過(guò)去����,那就換種類型唄��,于是乎��,就又搞了一個(gè)附件郵件的形式�����,本次采用exe后綴的木馬��,為了方便�,直接通過(guò)CS生成一個(gè)exe的木馬,過(guò)程如下:
首先進(jìn)行反彈shell監(jiān)聽(tīng)�。
然后生成相應(yīng)的exe。
利用釣魚(yú)場(chǎng)景三進(jìn)行郵件釣魚(yú)����,最終的釣魚(yú)郵件形式如下所示:
然后通過(guò)gophish平臺(tái)去進(jìn)行批量發(fā)送,這次總該可以了吧�����,如下是發(fā)送成功的截圖,但是一直都沒(méi)有一個(gè)用戶郵箱去打開(kāi)郵件���,最終問(wèn)了企業(yè)內(nèi)部的管理員才知道��,原來(lái)是反垃圾郵件安全網(wǎng)關(guān)將所有攜帶exe附件的郵件均進(jìn)行攔截�����,才導(dǎo)致郵件根本就沒(méi)有發(fā)送到用戶的郵箱����。
那既然不能攜帶附件�����,那我直接在郵件內(nèi)容中嵌入一個(gè)下載鏈接�����,不就可以了����,那就再繼續(xù)制作相應(yīng)的釣魚(yú)郵件樣本����。
然后再制作一個(gè)釣魚(yú)頁(yè)面��,作用是:當(dāng)用戶訪問(wèn)該地址時(shí)��,則會(huì)直接下載該木馬����。
然后再次批量發(fā)送一次����,等了一會(huì),發(fā)現(xiàn)有不少用戶收到了該釣魚(yú)郵件��,并且打開(kāi)了釣魚(yú)郵件��,說(shuō)明該反垃圾郵件安全網(wǎng)關(guān)僅攔截了帶附件的exe���,但是并未攔截郵件正文中嵌入鏈接的釣魚(yú)郵件�����。
那再繼續(xù)等等看��,應(yīng)該會(huì)有不少員工會(huì)點(diǎn)擊此釣魚(yú)鏈接�����,下載木馬����,果不其然,有幾個(gè)安全意識(shí)薄弱的員工下載了該exe木馬����。
對(duì)于真實(shí)環(huán)境下的郵件釣魚(yú),只要能釣到一個(gè)內(nèi)部員工的相關(guān)信息或者控制該員工的終端���,危害都是不可控制的�����。
那既然有員工都點(diǎn)擊了,那肯定會(huì)有員工點(diǎn)擊下載的exe木馬的�����,果不其然����,查看CS��,發(fā)現(xiàn)有兩臺(tái)主機(jī)已上線����。
由于客戶未允許進(jìn)行內(nèi)網(wǎng)滲透�,因此未進(jìn)一步深入利用,至此第一個(gè)郵件釣魚(yú)順利完成�����。
想著這下可以休息了����,但是當(dāng)時(shí)任務(wù)要求是發(fā)送2到3個(gè)釣魚(yú)郵件模板,那就繼續(xù)再制作新類型的模板繼續(xù)進(jìn)行測(cè)試����。
接下來(lái)這個(gè)釣魚(yú)模板就不再沿用攜帶附件木馬了,通過(guò)前期的信息收集��,知道他們內(nèi)部使用的是某個(gè)OA系統(tǒng)�,那就偽造一個(gè)他們內(nèi)部的OA系統(tǒng)頁(yè)面,釣一下內(nèi)部員工的OA賬號(hào)��。
使用攜帶鏈接的釣魚(yú)模板�����,估計(jì)他們內(nèi)部也識(shí)別出來(lái)了,那就偽造一個(gè)釣魚(yú)二維碼去釣內(nèi)部員工的OA賬號(hào)��,郵件模板如下所示�����。
然后直接批量發(fā)送��,大概等了半個(gè)多小時(shí)�,發(fā)現(xiàn)終于有員工點(diǎn)擊,打開(kāi)釣魚(yú)郵件的人數(shù)不在少數(shù)��。
然后再等待一會(huì)����,終于有員工中招了,輸入了自己的OA賬號(hào)和密碼���。
既然已經(jīng)得到了OA的賬號(hào)和密碼���,那就直接通過(guò)賬號(hào)密碼登錄唄�����,如下所示,登錄成功�。
既然已經(jīng)登到了后臺(tái),那肯定要拿shell�����,已經(jīng)知道該OA的類型��,直接通過(guò)已有的exp打就完事了����,此處的后臺(tái)處存在任意文件上傳,可直接上傳webshell�����,測(cè)試過(guò)程如下:
首先選擇電子郵箱�����。
寫(xiě)郵件處��,添加圖片����,如下所示����。
首先上傳一個(gè)正常的圖片�,抓取到如下的POST請(qǐng)求包。
正常情況下����,直接將png后綴修改為php無(wú)法進(jìn)行上傳,此處可將png改為php. 繞過(guò)限制��,真實(shí)存儲(chǔ)到服務(wù)器的文件名不符合 windows 命名規(guī)范����,系統(tǒng)將自動(dòng)去掉最后的點(diǎn)號(hào)。
Webshell的地址為:http://x.x.x.x/upload_temp/2011/452122999.111.php,冰蝎成功連接��。
最高權(quán)限:
至此�,釣魚(yú)工作順利完成了。
本文主要介紹郵件釣魚(yú)平臺(tái)的搭建(Gophish和EwoMail����,也可使用其他平臺(tái))和具體的實(shí)戰(zhàn)演練、最后簡(jiǎn)單介紹常規(guī)的釣魚(yú)郵件場(chǎng)景以及真實(shí)的一次釣魚(yú)實(shí)戰(zhàn)。
