基础设施
- 拿权限:cs、sliver、 viper
- 拿凭证:Gophish、建站工具、简单web
- 社交账号:手机、qq、微信、脉脉等,qq、163、126邮箱等
- 一套身份:背景身份
Gophish搭建
功能:邮件编辑、网站克隆、数据可视化、批量发送
网址:gophish/gophish: Open-Source Phishing Toolkit (github.com)
docker搭建
apt install docker.io
docker pull gophish/gophish
docker run -it -d --name gophish -p 3333: 3333-p 8848:80 gophish/gophish
gophish 配置
查看账户密码
docker logs gophish
**我是在vps上搭建的,需要将配置文件改为所有ip可访问,docker内没有vim命令,挂载一个数据卷
//拉取镜像
apt install docker.io
docker pull gophish/gophish
//挂载数据卷
docker volume create vol_gophish
//创建容器
docker run -it -d --name gophish -p 3333:3333 -p 8848:80 --mount source=vol_gophish,target=/opt/gophish gophish/gophish
修改配置文件(折腾了好久,结果默认配置就是所有ipv4可访问)
登录
gophish 使⽤
webhooks提醒:⽤于及时发现
User Management 和Account Settings:⽤户管理、配置、以及发送报告等信息(不建议填⾃⼰信息)
Landing Page:钓⻥⻚⾯制定和导⼊(推荐⾃⼰先定制好)
Sending Profiles:发送邮箱信息,配置如QQ,163,126等注意伪造邮件字段,否则会被某些邮件⽹关⾃动拦截配置的时候,可以通过伪造发件⼈
Email Templates :话术编辑配置
Campaigns :发送钓⻥组
选择发送邮件,选择钓⻥⻚⾯,选择话术模版
水坑攻击:https://github.com/Wileysec/adobe-flash-phishing-page
投递经验
exe命名伪装
- 超长空格
- 微信截图超长命名
- 名称+学校+专业 长简历命名
- exe图标伪造
- exe打开提示报错
权限维持
T1546.010
T1546的子技术,其描述了Windows的一个注册表特性
Windows操作系统的注册表中默认提供了Applint_Dlls和LoadApplint_Dlls两个注册表表项
如果LoaddApplint_Dlls的键值设为1,同时在Applint_Dlls值中指定动态链接库,那么当机器重启后,指定的动态链接库将由useer32.dll加载到user32.dll的每个进程中
位置
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs
限制进程满足
- 操作系统进程
- 持续存货
- 上线次数尽量少
- 尽量为system
dll免杀
dll免杀只需要过静态即可
- shellcode编码转换
- 回调函数加载执行等
操作注册表
很多时候,直接在主机内操作注册表都会引起AV或者EDR的告警
最好的方式是通过Windows API,实现操作注册表,绕过reg的监控