轉自:水滴安全實驗室
本篇為紅隊滲透手冊系列的第三篇,剛上車的同學可以先溫習一下前兩篇:
紅隊滲透手冊之信息收集篇
紅隊滲透手冊之彈藥篇
沒0day,靠社工。本篇主要整理了一下公開渠道的幾種實用性稍強的釣魚手法和工具。社工釣魚命題太大,難免疏漏,如有不足,還望海涵。基本都是常規操作加一點小技巧, 本文涉及所有信息均是公開信息, 部分手法均分析過或實踐過, 如有錯誤歡迎【斧】正, 如有補充也歡迎評論留言。
一、竊取口令類用偽裝的電郵,欺騙收件人將帳號、口令等信息回復給指定的接收者;或引導收件人連接到特製的網頁,這些網頁通常會偽裝成和真實網站一樣,如銀行或理財的網頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、帳戶名稱及密碼等而被盜取。
策略說明:
1、搭建釣魚站需考慮時間成本和隊伍的代碼功底等各種因素,使用SpoofWeb和setoolkit速度最快,httrack仿真度最高,但是要記錄訪問者的輸入需要修改相關文件,成本較高。
2、通過Swaks偽造郵件(或其他方式)發送社工郵件(批量或定向)。
3、幾個重要因素:仿造的站點目標、目標人群、話術。漂亮的戰術制定往往比技術點的抉擇更重要。例如19年底到現在盛行的裸聊詐騙套路,通過人性的弱點,效果顯著。再例如幾個月前的某次演練,某司隊伍通過反代釣魚的手法,成功的拿到了目標的類似雲主機管理系統的web帳號密碼,接管一堆虛擬雲主機。
搭建釣魚網站相關參考:
1、一鍵部署HTTPS釣魚站
https://github.com/klionsec/SpoofWeb2、nginx做反向代理-釣魚
https://www.cnblogs.com/R4v3n/articles/8460811.html3、克隆網站神器httrack
https://github.com/xroche/httrack4、社會工程學工程包
https://github.com/trustedsec/social-engineer-toolkit5、setoolkit的安裝與使用
https://www.cnblogs.com/zhangb8042/articles/10910019.html6、flash的釣魚頁
https://github.com/r00tSe7en/Fake-flash.cn郵件偽造參考:
1、Swaks偽造郵件
https://payloads.online/archivers/2019-05-09/12、Swaks - Swiss Army Knife for SMTP
http://www.jetmore.org/john/code/swaks/實例參考:
1、記一次真實的郵件釣魚演練
https://xz.aliyun.com/t/5412二、附件攜馬類用偽裝的電郵(不限於常見郵件,一些內部的oa,erp,或其他供員工使用交流帶附件功能的系統亦可),附件攜帶excel宏病毒,或快捷方式類木馬,亦或捆綁在正常軟體中的木馬等,發送給目標,策略和竊取口令類似。不推薦excel方式,wps佔據了國人大部分系統。
經驗分享:
各類OA系統的漏洞都被修補無法getshell的情況下,一定不要放棄它,例如seeyon,一個弱口令進OA,再提取其他用戶的username再跑一發弱口令,通過收集用戶平時工作來往信件,針對其他人與該帳號平時的工作內容制定話術,定向釣魚。例如在某次的項目中,我們通過一個普通員工弱口令進入了該司一個客服系統,通過信息收集發現上面有網管用戶和普通客服人員,通過附件攜馬的方式成功釣到管理員,在後續的深入中就方便多了。
免殺推薦:
https://github.com/Rvn0xsy/BadCodehttps://github.com/1y0n/AV_Evasion_Tool捆綁推薦:
https://github.com/TheKingOfDuck/MatryoshkaDollTool字典推薦:
https://github.com/sry309/SuperWordlisthttps://github.com/cwkiller/Pentest_Dichttps://github.com/TheKingOfDuck/fuzzDicts精彩爆破案例:
一次稍顯曲折的爆破經歷
https://www.cnblogs.com/cwkiller/p/12741086.html其他推薦:
魚叉攻擊-炮轟馬的製作
https://mp.weixin.qq.com/s/3GLmtGoP-rG1nBBSw_KxkQ一、簡述XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶加載並執行攻擊者惡意製造的網頁程序。這些惡意網頁程序通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。
二、XSS釣魚在hw需求面前,沒有0day,找不到入口點的情況下,可以安排一名擅於xss挖掘的隊員利用此種方式。
使用xss彈窗提示釣魚的時候面臨的問題,如果魚兒已上線,訪問者還會持續不斷的彈窗,容易引起魚兒懷疑,
權限說沒就沒了,這並不是我們希望看到的結果。
參考文章
XSS實例及挖掘方法
https://www.yuque.com/broken5/blog/vukwsh紅隊攻防系列之花式魚竿釣魚篇
https://xz.aliyun.com/t/7958參考工具
XSS-Phishing
https://github.com/timwhitez/XSS-PhishingXSS-Fishing2-CS
https://github.com/TheKingOfDuck/XSS-Fishing2-CS策略補充:此類手法不僅可以運用於在挖到xss時使用,在有webshell的情況下,還可以修改相關代碼,嵌入js文件進行對個人PC的釣魚,例如某類有運維維護的站點,通過這種方式釣運維PC,運維PC上的東西可比自己打server機慢慢探索來得迅速透徹。
一、簡述BadUSB是利用偽造HID設備執行攻擊載荷的一種攻擊方式。HID設備通常指的就是鍵盤滑鼠等與人交互的設備,用戶插入BadUSB,就會自動執行預置在固件中的惡意代碼。
Bad-Usb插入後,會模擬鍵盤滑鼠對電腦進行操作,通過這些操作打開電腦的命令終端,並執行一條命令,這條命令將從指定網址下載其他代碼並於後臺靜默運行。這些代碼功能包括:竊取信息、反彈shell、發送郵件等,從而實現控制目標機或者竊取信息的目的。
二、操作詳細的製作操作過程不再累述,參考以下文章。
BadUSB簡單免殺一秒上線CobaltStrike
https://mp.weixin.qq.com/s/UROx1fJOmMVbmH_-UasFEQBadusb初識
https://xz.aliyun.com/t/6435BasUSB實現後臺靜默執行上線CobaltStrike
https://mp.weixin.qq.com/s/pH9hcKGQHIRMxU3uDN3JUw
策略補充
1、摸索員工信息,例如某乎,某直聘,盡一切信息收集手段,採集員工信息(女性員工為宜)。
2、某寶搜索購買該司員工工牌,並製作。
3、製作badusb,並將U盤貼上一些符合女性審美的貼紙之類,將其掛載工牌上。
4、為了保險起見,設置第二個備用方案,例如,利用快捷方式的手法,找一張男女曖昧的圖片用來製作快捷方式的圖標,名字取名為「初夏之夜.mp4」,將該文件放在名為「甜蜜時刻」文件夾下,文件夾下再放幾張網絡「茶圖」,不帶臉的那種,再設置一個隱藏屬性的文件夾,裡面存放自己的免殺馬。
Attrib +s +a +h +r 命令介紹:顯示或更改文件屬性ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]+設置屬性;-清除屬性;R只讀文件屬性;A存檔文件屬性;S系統文件屬性;H隱藏文件屬性;現在,我們把這個U盤+工牌偽造成了某一個女性員工的物品,並在其中存放了一些令人感興趣的東西,想像一下,如果將其投放在該司某一個地方,被員工拾遺,會出現什麼樣的情況。。。
參考連結
新型遠控木馬上演移形換影大法
https://www.freebuf.com/articles/system/138164.htmlWindows的12種快捷方式
https://www.cnblogs.com/bkclover/p/4228441.html
紅隊活動之Lnk樣本載荷篇
https://mp.weixin.qq.com/s/ZbtGJAT-SyZ50LRNOCg14w0x04 小技巧演示一、附件攜馬二、捆綁攜馬說明:以上所演示的兩種實現均是從本文所列舉的內容經過組合修改測試而成,不具有多少技術含量。
0x05 最後社工幾個基礎點:1、信息收集 2、繪製人物畫像 3、指定戰術。在實戰中應將社工釣魚融入滲透的各個環節。高質量的針對某類個體釣魚往往比批量海釣的效果來的更出色。
一篇精彩的實例社工
反詐案例|詐騙團夥冒充領導開口就要98w
掃描關注烏雲安全
覺得不錯點個「贊」、「在看」哦