HVV在即,红队钓鱼手法(一)

钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人，通过发送电子邮件的方式，诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序，进而窃取用户敏感数据、个人银行账户和密码等信息，或者在设备上执行恶意代码实施进一步的网络攻击活动。

spf

1、什么是SPF：
发件人策略框架（Sender Policy Framework）电子邮件认证机制
中文译为发送方策略框架,主要作用是防止伪造邮件地址。
2、如何判断SPF：

dig -t txt qq.com         //linux
nslookup -type=txt qq.com //windows
"v=spf1 -all" （拒绝所有，表示这个域名不会发出邮件）
"v=spf1 +all" （接受所有）
"v=spf1 ip4:192.168.0.1/16 -all"（只允许 192.168.0.1/16 范围内的IP发送邮件）
"v=spf1 mx -all"（允许当前域名的 mx 记录对应的IP地址发送邮件）
"v=spf1 mx mx:test.example.com -all"（允许当前域名和 test.example.com 的 mx 记录对应的IP地址发送邮件）
"v=spf1 a mx ip4:173.194.72.103 -all"（允许当前域名的 a 记录和 mx 记录和一个给定的IP地址发送邮件）
"v=spf1 include:example.com -all"（采用和 example.com 一样的SPF记录）

v=spf1: 表示这是 SPF 记录的版本，目前 SPF 的版本是 1。
include:spf.mail.qq.com: 这部分指定了一个额外的 SPF 记录，即告诉接收邮件服务器，除了当前这条记录以外，还应当检查并包括 spf.mail.qq.com 的记录。
-all: 这部分是 SPF 记录的最后一部分，用来定义对于不符合 SPF 记录的邮件的处理策略。-all 表示所有不在 SPF 记录允许范围内的邮件都应当被拒绝（即硬拒绝）。
因此，这条 SPF 记录的含义是：允许 spf.mail.qq.com 的邮件服务器发送来自你域名的邮件，而其他任何服务器发送的邮件都应当被直接拒绝。

swaks伪造

、Swaks简单使用说明：
-t  –to 目标地址 -t   test@test.com
-f –from 来源地址 (发件人)  -f "text<text@text.com>"
–protocol 设定协议(未测试)
--body "http://www.baidu.com"    //引号中的内容即为邮件正文；
--header "Subject:hello"   //邮件头信息，subject为邮件标题
-ehlo 伪造邮件ehlo头
--data ./Desktop/email.txt    //将TXT文件作为邮件发送；

临时邮箱：
https://www.moakt.com/
http://24mail.chacuo.net/
https://www.linshi-email.com/
…
尝试发个信息看能否正常接受


看一下是否有spf,

不确定,用工具尝试伪造看看

swaks --header-X-Mailer "" --header-Message-Id "" --header-"Content-Type"="text/html" --from "admin@qq.com" --ehlo shabimeiguo -header "Subject: 员工工资" --body 我们做了一个测试 --to xj@moakt.cc  

可以看到,没有设置spf下,可以伪造一些正规可信任高的域名进行发送钓鱼,对方看到来源是这些大厂,自然可信度相对会高,但若存在spf,以qq邮箱为例

swaks --header-X-Mailer "" --header-Message-Id "" --header-"Content-Type"="text/html" --from "admin@qq.com" --ehlo shabimeiguo -header "Subject: 员工工资" --body 我们做了一个测试 --to 自己的邮箱

可以看到,伪造失败了,自己邮箱也并未收到邮件,但这个方法并不是实际没有用,很多企业会有自己搭建的公司域名的邮箱系统,若当时负责开发的师傅没有设置spf,那我们就可以任意伪造来进行钓鱼

而且,虽然无法伪造和大厂完全相同的域名,但可以伪造相似度高的,若不仔细,也很容易中招,如qq.com -> qq.com.cn / qq.cn / qq.c0m等等 ,可以尝试伪造其他可信域名


可以看到伪造的和aliyun.com相似度高的成功发送,且也收到了,若不仔细,还是很容易忽略的
中转伪造
前一两年,还可以进行转发来实现伪造,但经测试,现在好像考虑到危害,不行了
注册一个邮箱开启POP3转发(已失效)
1、将要发送的邮件导出EML模版
2、修改内置的发件人内容时间等

swaks --to 收信人 -f 发信人 --data 1.eml  --server smtp.163.com -p 25 -au 帐号 -ap 授权码

使用网上已知的邮箱系统

https://www.smtp2go.com/          #smtp2go（速度慢但免费发送量大）
https://www.sendcloud.net/        #SendCloud（速度快但免费发送量少）
http://www.ewomail.com/           #以自己搭建邮件服务器-Ewomail&Postfix

sendcloud钓鱼可以参考这位师傅的文章
https://www.cnblogs.com/paperpen/p/17600766.html

个人账户有限制,用一张图片演示

这种钓鱼方法会出现由xxx代发的,这个是没办法的,但可以刚刚那种申请相似度高的域名来伪装进行钓鱼,若自己工作中看到由xxx代发.大家可以多注意内容

Gophish：

https://github.com/gophish/gophish

1、配置发件接口(自定义)
2、配置发信模版(更逼真)
3、配置触发页面(钓鱼用)
4、配置收信人地址(批量套)
功能实现1：伪造来源发件人
功能实现2：不伪造来源发件人
运行搭建,若打不开,浏览器装一下证书 ,第一次搭建会生成账户admin和随机密码,首次登录后修改密码(需要记住)

配置发送

这个密码不是qq密码,

申请授权码,填入password字段
测试一下


通讯正常,163邮箱同理,这个授权码不要泄露!,危害不低于ossaccesskey,可以直接登录qq
开始伪造emali模板


下载打开,复制里面内容

Users & Groups配置

Landing Pages配置

作用:若伪造网页模板有跳斩功能,则会跳转到我们设置的,这里为baidu,也可像刚刚自己配置,实战可以伪造自己搭建的钓鱼页面,用来获取密码,或者其他,也可以下载后门等等操作
开始钓鱼


收到伪造邮件

点个链接
后续,可以自己申请可用邮箱域名,进行伪造,修改跳转地址到自己搭建的伪造网址进行钓鱼
邮件钓鱼防范：7看

-看发件人地址

​
收到可疑邮件首先要查看发件人地址。如果是办公邮件，发件人多数会使用单位工作邮箱，如果发现对方使用的是外部邮箱账号如gmail，qq邮箱，或者邮箱账号拼写很奇怪，那么就需要提高警惕。钓鱼邮件的发件人地址也经常会进行伪造，比如伪造成本单位域名的邮箱账号或者系统管理员账号。

-看收件人地址

​ 如果发现所接收的邮件被群发给校内大量人员，而这些人员并不是工作常用联系人或相关单位人员，那么就需要警惕，有可能是钓鱼邮件。

-看邮件标题

​
大量钓鱼邮件主题关键字涉及“系统管理员”、“告警通知”、“账户冻结”、“密码到期”、“邮件账号报备”、“邮件异常登录”等，收到此类关键词的邮件，需提高警惕。

-看正文措辞

​
对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候或同事间不常用称呼的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕，如要求“账号已到期”，“邮箱容量达到上限”等。

-看正文内容

​
邮件中有要求使用者点击邮件中的链接完成某项操作（如激活账号，确认密码），一定不要随便点击链接，必要时可以先联系相关部门确认邮件内容，避免上当。

-看附件内容

​
邮件中的附件信息，不要随便点击下载。诸如word、pdf、excel、PPT、rar等文件都可能植入木马或间谍程序，尤其是附件中直接带有后缀为.exe、.bat的可执行文件，千万不要点击。

-看发件的日期

​ 公务邮件通常接收邮件的时间在工作时间内，如果收到邮件是非工作时间（如凌晨时段），很有可能是钓鱼邮件。