> 资讯
获取编程专家推荐的23本编程资料!
电子邮件网络钓鱼入门
随着大型企业的边界安全越来越好,无论是APT攻击还是红蓝对抗演练,钓鱼、水坑攻击的使用越来越多。
1. 电子邮件安全的三大协议 1.1 SPF
SPF是Sender Policy Framework的缩写,翻译成中文为发件人策略框架。
主要功能是防止伪造电子邮件地址。
由于发送电子邮件的传统标准——1982年制定的简单邮件传输协议(SMTP)根本不验证发件人的电子邮件地址,垃圾邮件发送者可以随意编造发件人地址来发送垃圾邮件。 收件人很无助,因为你无法分辨电子邮件是谁发送的。
在SPF系统中,每个需要发送邮件的企业在其公开发布的DNS域名记录中列出了自己域名下所有需要发送邮件的IP地址段; 接收电子邮件的服务器会列出电子邮件中的发件人。 其所属的域名,搜索该公司颁发的合法IP地址范围,然后检查发送电子邮件的机器是否属于这些地址范围,就可以判断该电子邮件是否是伪造的。
检查SPF是否开启
nslookup 类型=
记录中出现 spf1 表示使用了 spf。 所谓的伪造邮件是无法发送到QQ邮箱的。
但一般甲方不订立此协议。
1.2 DKIM
DKIM,电子邮件身份验证标准 - 域密钥识别邮件标准。 域名密钥识别邮件的缩写。
一般来说,发件人会在电子邮件的标头中插入 DKIM-Signature 和电子签名信息。 接收方通过DNS查询获取公钥,然后进行验证。
1.3 DMARC
dmarc由Paypal、Google、Microsoft、Yahoo等于2012年1月30日开发,相关内容包括DMARC协议。
【DMARC】协议基于现有的两种主流电子邮件安全协议【DKIM】和【SPF】。 邮件发送者(域所有者)在[DNS]中声明它采用此协议。 当邮件接收方(其MTA需要支持DMARC协议)收到从该域发送的电子邮件时,会执行DMARC验证。 如果验证失败,需要将报告发送到指定的[URI](通常是电子邮件地址)。
2. 环境设置 2.1 Gophish 设置
我正在使用ubuntu
下载
获取
解压
mkdir -p/gophishunzip gophish-v0.11.0-linux-64bit.zip -d/gophish/cd/gophish/
将config.json中的127.0.0.1修改为0.0.0.0。
80端口代表钓鱼网站开放的端口; 后端管理页面开放的端口为3333,默认账号和密码为admin/gophish。
{“admin_server”:{“listen_url”:“0.0.0.0:3333”,“use_tls”:true,“cert_path”:“gophish_admin.crt”,“key_path”:“gophish_admin.key”},“phish_server”:{ “listen_url”:“0.0.0.0:80”,“use_tls”:false,“cert_path”:“example.crt”,“key_path”:“example.key”},“db_name”:“sqlite3”,“db_path” : "gophish.db","migrations_prefix": "db/db_","contact_address": "","logging": {"filename": "","level": ""}}
在后台运行,设置当前环境。
chmod+x gophish./gophish &
访问:3333/
可能会提示证书不正确,点击高级-继续页面,输入默认账号和密码登录:admin/gophish
它可能不是默认密码。 vps启动./gophish后,命令行中会给出一个临时密码。 使用临时密码登录,然后设置新密码。
进入钓鱼界面:
打开浏览器访问:80/ 由于我们没有配置钓鱼页面,所以出现404页面未找到的小提示说明运行正常。
Gophish 已构建。
2.2 电子邮件设置
官方文档:
ewomail需要centos,但是这时候不像重装系统,所以使用docker来搭建。
apt install docker.iodocker 搜索 ewomaildocker pull bestwu/ewomail
创建并启动容器:(将命令替换为自己的域名mail.*.格式)。
docker run --restart=always -p25:25 -p109:109 -p110:110 -p143:143 -p465:465 -p587:587 -p993:993 -p995:995 -p81 :80 -p8080:8080 -v`pwd`/mysql/:/ewomail/mysql/data/ -v`pwd`/vmail/:/ewomail/mail/ -v`pwd`/ssl/certs/ :/etc/ssl/certs/ -v`pwd`/ssl/private/:/etc/ssl/private/ -v`pwd`/rainloop:/ewomail/www/rainloop/data -v`pwd` /ssl/dkim/:/ewomail/dkim/ --nameewomail bestwu/ewomail
域名系统:
最终搭建效果:
域名:8080
帐号 admin 密码 ewomail123
添加电子邮件:
2.3 Gophish功能介绍
进入后台后,左边的栏代表各种功能,包括仪表板、营销活动、用户和组、电子邮件模板、登陆页面和发送配置文件:
功能
简要描述;简介
仪表板
查看总体测试状态的仪表板
活动
每次攻击前都需要配置
用户和组
用户和用户组(添加钓鱼所需的邮箱地址及相关基本信息)
电子邮件模板
电子邮件模板
登陆页面
需要假钓鱼页面
发送配置文件
钓鱼邮件发送配置
发送配置文件 发送策略
发送配置文件的主要功能是配置用于向 gophish 发送钓鱼邮件的电子邮件地址。
单击新建配置文件以创建新策略并依次填写每个字段。 填写您刚刚创建的发送电子邮件地址和用户名。
名称:名称字段用于为新创建的发送策略命名,不会影响钓鱼的实施。
Interface Type:Interface Type是接口类型。 默认为 SMTP 类型,不可修改。 因此,需要在发送邮箱中启用SMTP服务。 然而,SMTP的25端口在大多数机器上被禁用,因此需要将其配置为465端口。
From:From 是发件人,如网络钓鱼电子邮件中所示。 (实际使用中,一般需要伪造近似域名)。
Host:Host是smtp服务器的地址,格式为:25
用户名:用户名是smtp服务认证的用户名。 密码:密码是smtp服务认证的密码。
(可选)电子邮件标头:电子邮件标头是自定义电子邮件标头字段,例如电子邮件标头的 X-Mailer 字段。 如果不修改该字段的值,则通过gophish发送的邮件的邮件头的X-Mailer值将默认为gophish。
设置完以上字段后,您可以单击“发送测试电子邮件”发送测试电子邮件,以检查 SMTP 服务器是否通过身份验证。
但是我收不到邮件啊……
我们先通过qq邮箱转发一下:
user 和 from 都填写电子邮件帐户。
输入密码的授权码:
成功页面。
1. Landing Pages 钓鱼页面
配置钓鱼邮件后,您可以通过LandingPages模块创建新的钓鱼网站页面。 这里支持手写html文件,也可以导入网站功能。
名称:名称用于为当前创建的钓鱼页面命名。
导入站点:gophish提供了两种设计钓鱼页面的方式,
第一个是导入站点。 点击“导入站点”后,填写伪造网站的URL,然后点击“导入”,即可通过互联网自动抓取伪造网站的前端代码。
在这里百度一下测试一下。
内容编辑框是编辑钓鱼页面的第二种方法,但大多数情况下,更多的是用来辅助第一种方法,即修改源代码和预览导入的页面。
(要点)捕获提交的数据:
通常,网络钓鱼的目的是捕获受害者的用户名和密码。 因此,在单击“保存页面”之前,请记住选中“捕获提交的数据”。 勾选Capture Submitted Data后,页面上会多出一个Capture Passwords。 选项,显然是为了捕获密码。 通常,可以选择选中该框来验证帐户可用性。 如果只是为了测试统计受害用户是否提交数据而不泄露账户隐私,则无需检查。 此外,当选中“捕获提交的数据”时,页面上还会有一个额外的“重定向到”。 它的功能是当受害用户点击时,点击提交。 表单之后,将页面重定向到指定的 URL。 可以填写伪造网站的URL,造成受害者第一次填写错误的账号和密码的感觉(一般来说,当登录页面提交的表单数据与数据库不一致时,URL登录页面的最后会添加一个error参数,用于提示用户用户账号或密码不正确,所以在Redirect to中,最好在URL中填写error参数)。
填写以上参数后点击保存页面即可保存编辑好的钓鱼页面。
1. 电子邮件模板 网络钓鱼电子邮件模板
创建相应的钓鱼邮件模板。 这里的钓鱼模板可以直接编辑,也可以导入其他邮箱的模板。
名称:同样,该字段用于命名当前创建的钓鱼邮件模板。
导入电子邮件:gophish 提供了两种编辑电子邮件内容的方式。
第一个是导入电子邮件。 用户可以先在自己的邮箱系统中设计一封钓鱼邮件,然后发送给自己或其他合作伙伴。 他们收到设计的电子邮件后,可以打开它并选择导出为eml文件或显示电子邮件的原始文本,然后将内容复制到gophish的导入电子邮件中以导入设计的钓鱼电子邮件。
在这里您可以直接打开邮箱中的一封信,点击显示原文,然后就可以复制、导入、粘贴进去。
影响:
需要注意的是,在单击“导入”之前,您需要选中“更改链接以指向登陆页面”。 当钓鱼事件发生时,该功能会自动将电子邮件中的超链接转换为钓鱼网站的URL。
主题:主题是电子邮件的主题。 通常为了提高电子邮件的真实性,你需要自己编一个有吸引力的主题。
内容编辑框:内容编辑框是编写电子邮件内容的第二种模式。 内容编辑框提供了文本和HTML两种模式来编写电子邮件内容。 使用方法与普通编辑器相同。 其中,HTML模式下的预览功能较为常用。 编辑完内容后,点击“预览”即可清楚地看到邮件的具体内容和格式。
添加跟踪图像:添加跟踪图像是在钓鱼邮件末尾添加跟踪图像,以跟踪受害者是否打开了收到的钓鱼邮件。 默认情况下会选中它。 如果不勾选,将无法追踪受害用户是否打开钓鱼邮件(注:追踪受害用户是否点击钓鱼链接以及捕获提交的数据不会受其影响)添加文件:正在发送添加文件 可以将附件添加到电子邮件中。 首先,可以添加相关文件以提高电子邮件的真实性。 其次,可以与反杀木马配合使用,诱导受害用户下载并打开。
填写完上述字段后,单击“保存模板”保存当前编辑的钓鱼邮件模板。
1. 用户和组 用户和组
Users & Groups的作用是将钓鱼目标邮箱地址导入gophish并准备发送。 单击新建组创建新的钓鱼目标用户组。
名称:名称是当前创建的用户组的名称。
批量导入用户:批量导入用户是批量导入用户邮箱。 通过上传符合特定模板的CSV文件,批量导入目标用户邮箱。 单击旁边灰色字体的“下载 CSV 模板”可下载特定的 CSV 模板文件。 其中,模板文件的Email为必填项,其余Frist Name、Last Name、Position为选填项。
补充:除了批量导入目标用户邮箱外,gophish还提供了导入单个邮箱的方法,非常方便在开始钓鱼之前对钓鱼组织进行内部测试。 无需上传繁琐的文件,直接填写电子邮件即可,其余的名字、姓氏和职位都是可选的。
编辑目标用户的电子邮件地址后,单击保存更改,将编辑后的目标电子邮件地址保存在 gophish 中。
1. 活动网络钓鱼事件
Campaigns的作用是连接以上四个功能Sending Profiles、Email Templates、Landing Pages、Users & Groups,并创建网络钓鱼事件。
在营销活动中,您可以创建新的钓鱼事件,选择编辑好的钓鱼邮件模板和钓鱼页面,通过配置的发送地址将钓鱼邮件发送给目标用户组中的所有用户。
单击“新建活动”以创建新的网络钓鱼事件。
名称:名称是为新的网络钓鱼事件命名。
电子邮件模板:电子邮件模板是网络钓鱼电子邮件模板。 这里选择上面刚刚编辑的钓鱼邮件模板。
Landing Page:Landing Page就是钓鱼页面,这里选择上面编辑的那个。
(要点)URL:URL是用于替换所选钓鱼邮件模板中的超链接的值,该值指向所选钓鱼页面部署的URL。
简单来说,这里的URL需要填写当前运行gophish脚本的主机的IP地址。 因为启动gophish后,gophish默认监听3333和80端口。 3333端口为后台管理系统,80端口用于部署钓鱼页面。 当URL填写主机IP/,或[]()时,当前钓鱼事件创建成功。 gophish 将在主机的 80 端口上部署当前钓鱼事件选择的钓鱼页面,并将发送的钓鱼邮件中的所有超链接替换为部署在 80 端口上的钓鱼页面的 URL。
启动日期:启动日期是网络钓鱼事件的实施日期。 通常,如果只发送少量电子邮件,则此项不需要修改。 如果您需要发送大量电子邮件,最好使用旁边的发送电子邮件方式。
(可选)Send Emails By:与Launch Date结合使用,Send Emails By可以理解为当前钓鱼事件下所有钓鱼邮件发送的时间。 Launch Date 用作开始发送时间,Send Emails By 用作完成发送时间,两者之间的时间将除以所有电子邮件(以分钟为单位)。
发送配置文件:发送配置文件是发送策略。 在这里选择您刚刚编辑的:
填写完上述字段并点击启动活动后,就会创建该钓鱼事件(注意:如果不修改启动日期,默认情况下,钓鱼事件创建后会立即发送钓鱼邮件)。
1、仪表盘仪表抓取
当网络钓鱼事件发生时,仪表板将自动开始统计数据。 统计数据项包括邮件发送成功数及率、邮件打开数及率、钓鱼链接被点击数及率、账号及密码数据提交数及率、提交次数及率等。收到的电子邮件报告的数量。 。 此外,还有一个时间线,记录每个行为发生的时间。
需要说明的是,Dashboard统计的是所有钓鱼事件的数据,而不是单个钓鱼事件的数据。 如果您只需要查看单个钓鱼事件的统计信息,您可以在营销活动中找到该钓鱼事件,然后单击“查看结果”按钮进行查看。
3. 邮箱管理
邮件钓鱼信息收集:
3.1 找到目标开放的邮件服务端口和Web邮箱入口
通过扫描c段找到入口
首先,你需要从MX记录域名中找到他的真实IP地址。
然后扫描该IP地址的C段(端口25、109、110、143、465、995、993)。 一般情况下,很容易找到目标邮件服务器入口。
通过子域名找到邮箱入口
Sublist3r、TeeMO、LangSrcCurise、Digger 等
通过搜索引擎抓取
谷歌黑客搜索;
百度、搜狗、360、Bing。
站点:标题:“Outlook Web App”
站点:标题:“邮件”
网站:标题:“网络邮件”
Shodan、fofa、zoomeye 搜索等
3.2 批量收集目标邮箱地址 3.3 验证邮箱地址
收集完邮箱后,我们需要对邮箱进行验证,因为部分目标公司员工已经放弃或不再使用(辞职、调岗等)。
您可以通过以下方式检查该电子邮件地址是否存在
verifyemail是一个可以批量验证邮件的工具
邮件测试器.py
该工具可以自动组合电子邮件地址,并根据组合结果一一验证。
该脚本的优点是它会根据名字中的名字随机组合组合,然后一一验证。
我们在枚举邮箱用户的时候,尽量查找尽可能多的词典,比如汉语拼音、缩写词前100、1000、10000。这里我们需要更多的鱼叉。 多一个邮箱就意味着多一份成功。 速度。
当然,我们可以提取出可疑的网络管理员、运维人员、安全部门人员。 这些人单独写邮件或者不发送,因为这些人的安全意识比较高,很容易惊动别人。 我们需要确保一些非技术员工的安全。 意识薄弱的人开始采摘弱柿子。
这里您可以与本网站合作,根据收集到的目标信息,开发对应名称的词典进行组合。
3.4 邮箱爆破
这种弱口令爆破的方法只适用于目标公司自有的邮件服务器如OWA等,百度、腾讯、阿里巴巴、网易等邮箱不优先考虑。
使用的工具有medusa、Hydra、SNETCracker、APT34组织owa爆破工具等。
此外,电子邮件用户名和密码经常使用公司缩写+2019、2020等社会工程密码。 额外的字典将提高成功率。
4. 电子邮件伪造
一般情况下,如果没有SPF,可以直接用swaks伪造。
-t –to 目标地址 -t -f –from 源地址(发件人) -f "text"--protocol 设置协议(未测试)--body "" //引号内内容为邮件正文; - -header "Subject:hello" //电子邮件头信息,主题为电子邮件标题 -ehlo 伪造电子邮件 ehlo header --data ./Desktop/email.txt //将正常源电子邮件的内容保存到TXT文件中,然后将其用作普通电子邮件发送;
网上打假:
匿名邮箱:
5.绕过SPF
绕过sendgird、mailgun
对于 SPF,您需要绕过 SPF。 您可以使用swaks+smtp2go。 您需要使用电子邮件托管平台来绕过 SPF 监控。
swaks --to --from --ehlo xxxdan--body“你好,我是007”--server -p 2525 -au user -ap pass
6. 钓鱼域名注册
通过文案写作,如何让你的电子邮件看起来更真实? 最简单的就是利用超链接将元素内容改为你想要仿冒的域名。 在电子邮件页面上,将直接显示该元素的内容。 我们可以使用一些与目标相似的域名。 比如用0代替o,用1代替l,vv代替w等。你需要发挥你的想象力来寻找相似的域名:如果你找不到这样相似的域名或者这个域名比较价格昂贵,你可以尝试一些更粗俗的东西。 。 例如,如何使用国际域名注册域名? 在了解如何注册此类域名之前,您需要首先了解什么是国际域名IDN。
6.1什么是国际化域名(IDN)?
是指域名中至少包含一个特殊语言字母的域名。 特殊语言包括中文、法语、拉丁语等。在DNS系统工作中,这个域名会被编码成ASCII字符串,并通过Punycode进行翻译。 Punycode是基于RFC 3492标准开发的编码系统。 主要用于将域名从本地语言使用的Unicode编码转换为可以在DNS系统中使用的编码。
目前,由于操作系统的核心是由英文组成,而DNS服务器的解析也是通过英文代码进行交换,因此DNS服务器不支持直接的中文域名解析。 所有中文域名解析都需要转换成punycode代码,然后被DNS Parse punycode代码使用。 事实上,目前所有主流浏览器都完美支持IDN域名。 浏览器会自动对IDN域名进行Punycode,地址栏仍显示原来输入的IDN域名。
看看这两个域名,
纳纳
乍一看,它们看起来一样。 但是当第一个域名复制到浏览器时,就变成了其他字符。仔细一看,第一个域名n下面有一个点,哈哈哈,这就是区别,其实是转码后的域名庞尼码
试
A
您可以在这里找到类似的并对其进行编码,
punycode在线转换工具:
Unicode编码表:
之前的假冒看起来类似,但如果浏览器上直接出现不安全警告或者红色斜线,很容易引起目标的警惕。 所以在条件允许的情况下,尽量去做全套剧。
7. 钓鱼文件制作 7.1 APT提示
假冒扩展 kilerrat 工具
文件捆绑
传统宏文件
CHM钓鱼
CVE-2018-2174
Windows 快捷键
构建DDE钓鱼文档
将外部对象(OLE)插入到单词作弊中
IQY 功能钓鱼
PPT动作按钮功能结构PPSX钓鱼
RAR减压钓鱼
NiFengQiPi是一个专注于程序员圈的技术平台。 您可以获取最新的技术动态、最新的内测资质、BAT等大公司的经验、自我成长、学习资料、职业路线、赚钱思路、微信搜索反向关注!
猜你喜欢
- 2023-12-08 钓鱼邮件Gophish系统实用指南
- 2023-12-08 澳大利亚肺鱼 干鱼存活了5年,入水后立即复活。 非洲肺鱼到底有多神奇?
- 2023-12-08 金枪鱼的营养价值和禁忌
- 2023-12-08 金枪鱼来自哪个国家? 有哪些品种?
- 2023-12-08 金枪鱼的营养价值与功效 金枪鱼的10大功效
- 2023-12-08 鱼竿品牌排名
- 2023-12-08 渔具十大品牌(鱼竿十大品牌推荐排名)
- 2023-12-08 如何区分巴西龟雌雄(巴西龟雌雄图解)
- 2023-12-07 乌龟眼睛睁不开怎么办?