单位做网站需要准备什么,网页设计素材怎么放进去,鸿扬家装公司简介,做纺织的都用什么网站当涉及到网络安全和信息保护时#xff0c;钓鱼攻击一直是备受关注的话题。钓鱼攻击是一种利用社交工程手段欺骗用户#xff0c;诱使其提供敏感信息或执行恶意操作的攻击方式。它不仅威胁个人用户的隐私和财产安全#xff0c;也对组织和企业的机密信息构成严重威胁。为了增强…当涉及到网络安全和信息保护时钓鱼攻击一直是备受关注的话题。钓鱼攻击是一种利用社交工程手段欺骗用户诱使其提供敏感信息或执行恶意操作的攻击方式。它不仅威胁个人用户的隐私和财产安全也对组织和企业的机密信息构成严重威胁。为了增强人们对钓鱼攻击的认识并提高应对此类威胁的能力钓鱼演练成为一种常见的训练方式。在这篇文章中我们将探讨钓鱼演练的重要性并探索如何有效开展这样的训练以保护个人和组织免受这一威胁。在以往的钓鱼演练行动中很多钓鱼邮件能够发送到对方邮箱但是要么就是会被放进垃圾邮箱要么就会被提示有风险本篇将以红队人员视角教你如何从0到1制作一封完美且隐蔽性很强的钓鱼邮件并且对方系统不会存在上诉所说的情况在最后会指出如何快速识别这种钓鱼邮件。
声明
利用钓鱼网站骗取银行卡或信用卡账号、密码等私人资料属于非法行为请不要进行任何非授权的网络攻击由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失均由使用者本人负责文章作者不为此承担任何责任。
废话不多说先说一下本次钓鱼演练需要准备的东西接下来我们将会从以下5个方面进行钓鱼邮件的制作。 1.香港服务器必须 2.域名 3.cloudflare 4.EwoMail邮件服务器 5.gophish 一服务器准备
最好是香港的因为国外的ip大概率会被网易邮箱、QQ邮箱进行拦截而且后面做https域名映射的时候国内服务器域名没有备案的话不会让使用所以最好选择香港的服务器网上随便买个香港服务器就行了系统的话我们选择centos7.9因为后面要安装很多东西最好选择跟我一样的系统版本避免安装时报错这里需要全新的系统如果自己有服务器而且上面有安装其他服务的最好重装一下或者购买新的服务器。
二域名
我们需要购买相似的域名来增加钓鱼的命中率比如对方的邮箱使用的是zhangsanbitebi.com主域名是bitebi.com那我们需要购买和这个相似的域名例如bittbi.com、bitebl.com等相似的域名域名在哪儿购买都行国内国外无所谓的如果是国内例如阿里、腾讯的域名后面进行dns修改的时候需要等2天的时间因为后面我们需要使用cloudflare进行dns伪装和https所以需要对域名解析的dns进行修改。 我这里买的阿里云的我们购买成功以后就可以看到我们的域名这里暂时先不管我们进行下一步操作。
三cloudflare搭建
Cloudflare是一家全球性的互联网安全、性能优化和分发服务提供商。该公司提供了一系列的云计算服务包括内容分发网络CDN、DDoS攻击防护、安全防护、域名解析、SSL证书和边缘计算等。我们这里用来使用cloudflare的cdn和https来规避网易邮箱的封禁和拦截达到伪装和防止溯源的目的。
3.1添加域名站点
https://dash.cloudflare.com/
(1) 选免费 - 继续 - 确认 (2) 左边点 DNS- 记录 - 添加记录
(3) 添加两条 这里说明一下类型我们都选择A记录然后名称就是主域名前面的名称比如我们申请的域名是bittbi.com这个域名那么名称我们就可以填写www那么整个域名就是www.bittbi.com。内容填写我们前面提到的服务器也就是我们的vps。
3.2域名dns更改
这里需要修改域名的dns解析值查看上图我们会发现cloudflare有一个NS类型的值这里我们需要在域名里面把值修改为cloudflare中NS类型的值这样你ping域名的时候就会解析到cloudflare的cdn这里我们以阿里云为例子回到刚刚阿里云那个界面点击全部域名那个1按钮就会跳转到如下 点击管理 选择修改dns填写我们刚刚cloudflare中NS类型的值阿里云需要等待48小时dns服务器才会更改生效如果不着急的话可以选择阿里云很着急的话选择国外的也行。
3.3cloudflare ssl配置:
(1) 改为灵活因为完全在国内会非常慢 (2) 点客户端证书 - 创建 (3) 选择 ECC- 创建证书 (4) 左边缓存 - 配置 - 开发者勾上 (5) 左边规则 - 添加两个规则 - 选择缓存级别 - 选择绕过 - 保存 这里“url/说明”填写我们之前申请的主域名
*.bittle.com/*
bittle.com/**号必须要有速通符 四EwoMail邮件服务器
EwoMail邮件服务器是一个用于搭建和管理企业级邮件系统的软件解决方案。它提供了完整的电子邮件服务包括收发邮件、邮件存储、邮件过滤、用户管理和安全控制等功能。
4.1关于25端口
25端口为SMTP(Simple Mail Transfer Protocol简单邮件传输协议)服务器所开放主要用于发送邮件。EwoMail服务器支持创建邮箱账号EwoMail服务器创建的不同账号收发邮件没有限制使用EwoMail创建的邮箱账号向EwoMail外部发送邮件时需要使用25端口这里就是为什么要香港的服务器因为香港的服务器不需要向服务器厂商申请可以直接开放就能使用如果是腾讯云、阿里云、京东云等这些国内服务器厂商都要走审批工单才能开放25端口如果这里使用了这些云服务器那么后面的https就无法使用了因为域名没有备案无法解析到国内的服务器。
4.2搭建步骤
4.2.1检查selinux
vi /etc/sysconfig/selinux SELINUXenforcing 改为 SELINUXdisabled4.2.2git安装
yum -y install git cd /root git clone https://gitee.com/laowu5/EwoMail.git cd /root/EwoMail/install #需要输入一个邮箱域名不需要前缀列如下面的bittbi.comsh ./start.sh bittbi.com // 注意安装时更改为自己的主域名4.2.3host替换
vim /etc/hosts127.0.0.1 mail.bittbi.com smtp.bittbi.com imap.bittbi.com 4.2.4创建邮箱账号
登录邮箱管理后台http://IP:8010 默认账号admin密码ewomail123进行账号创建 注意添加邮箱账号时需要更换为自己的主域名也就是sh ./start.sh bittbi.com 命令执行时候的域名我以示例域名bittbi.com为例那么就是zhangsanbittbi.com。
4.2.5邮箱登录
使用浏览器打开http://IP:8000例如zhangsanbittbi.com进行登录 这里可以发送邮件我们可以自行测试一下邮件能否发送发送一封测试就行。
4.2.6注意事项
如果想要重新安装的话只能通过重装系统才能解决默认后台运行不需要每次都启动脚本启动一次即可。
五gophish搭建
Gophish是一款开源的渗透测试工具用于模拟和执行钓鱼攻击。它的设计目的是帮助安全专业人员评估和增强组织的防御能力通过模拟真实的钓鱼攻击来测试员工的警觉性和安全意识。
使用Gophish安全团队可以创建和发送钓鱼电子邮件、网页钓鱼页面以及其他钓鱼形式的伪造信息以诱使目标用户提供敏感信息或执行特定的操作。Gophish提供了灵活的模板和配置选项使用户能够定制和伪造各种类型的钓鱼攻击包括欺骗性的登录页面、恶意附件和虚假的重要通知等。
除了发起钓鱼攻击Gophish还提供了详细的分析和报告功能。它可以跟踪受攻击用户的行为例如打开邮件、点击链接或输入凭据等并生成相应的报告和统计数据。这些数据可以帮助安全团队评估钓鱼攻击的成功率、目标用户的易受攻击性和潜在的安全风险。
需要注意的是Gophish只能在合法和授权的渗透测试活动中使用。未经授权和合法许可的使用可能涉及非法行为和侵犯隐私问题。在使用Gophish或其他类似工具之前务必遵循适用法律法规和道德准则并获得相关授权和许可。
5.1安装gophish
安装包下载https://github.com/gophish/gophish/releases这里我建议本机开代理下载下来然后传到服务器上面进行解压使用如果服务器网速很好可以使用wget进行下载
wget https://github.com/gophish/gophish/releases/download/v0.10.1/gophish-v0.10.1-linux-64bit.zip 注意这是64位的
下载以后解压
unzip gophish-v0.10.1-linux-64bit.zip -d ./gophish进入gophish修改配置文件因为我们服务器是在公网所以要改一个配置
vi config.json改为0.0.0.0即为全部用户可访问
5.2gophish使用详情
chmod x gophishnohup ./gophish gophish.log 21 访问https://ip:3333/ 注意使用https协议尽量登录后在功能面板Account Settings处修改高强度密码(admin/gophish)
如果依旧访问不到后台管理系统有可能是服务器未对外开放3333端口可查看防火墙策略、配置iptables 等方式自检 5.3功能介绍
进入后台后左边的栏目即代表各个功能分别是Dashboard仪表板 、Campaigns钓鱼事件 、Users Groups用户和组 、Email Templates邮件模板 、Landing Pages钓鱼页面 、Sending Profiles发件策略六大功能接下来逐一介绍此功能。
5.3.1Sending Profiles 发件策略
说白了就是绑定一个发钓鱼邮件的邮箱账号 Name这里建议选择邮箱名字做到见名知其意
From就是发送到对方邮件后想显示的效果比如你想模仿网易安全中心那么就是“网易安全中心zhangsanbittbi.com”这里的域名要自行替换哦
UserName就是刚刚邮件服务器创建的邮箱名字
PassWord邮箱密码
Email Headers:这个需要自己改如果用默认的直接会被拦截掉如何去找这个可以自行百度该字段的意义然后里面会有很多或者自己先用网易发一封正常的邮件然后导出为eml格式的文件用txt打开找到这个字段复制下来就好了这里给大家一个例子 X-Mailer:Foxmail 6, 15, 201, 21 [cn] 这里可以发送一封测试邮件进行测试如果有收到说明就没问题。
5.3.2Landing Pages 钓鱼页面 这里有几个点需要注意重点说一下
Name还是跟之前一样的命名规范
Import Site要克隆的页面输入域名就可以克隆页面但是这个里面有很多的坑要么就是捕捉不到数据要么就是乱码所以接下里给大家讲讲如何避免这种情况
必看经验之谈 · 注意事项
在导入真实网站来作为钓鱼页面时绝大多数情况下并非仅通过Import就能够达到理想下的克隆通过多次实践总结出以下几点注意事项
【捕获不到提交的数据】导入后要在HTML编辑框的非Source模式下观察源码解析情况如果明显发现存在许多地方未加载则有可能导入的源码并非页面完全加载后的前端代码而是一个半成品需要通过浏览器二次解析渲染未加载的DOM。这种情况下除非能够直接爬取页面完全加载后的前端代码否则无法利用gophish进行钓鱼造成的原因是不满足第2点。
【捕获不到提交的数据】导入的前端源码必须存在严格存在form methodpost ···input nameaaa ··· / ··· input typesubmit ··· /结构即表单POST方式— Input标签具有name属性Input标签submit类型— 表单闭合的结构如果不满足则无法捕获到提交的数据
【捕获不到提交的数据】在满足第2点的结构的情况下还需要求form methodpost ···在浏览器解析渲染后即预览情况下不能包含action属性或者action属性的值为空。否则将会把表单数据提交给action指定的页面而导致无法被捕获到
【捕获数据不齐全】对于需要被捕获的表单数据除了input标签需要被包含在form中还需满足该input存在name属性。例如input nameusername,否则会因为没有字段名而导致value被忽略
【密码被加密】针对https页面的import通常密码会进行加密处理这时需要通过审计导入的前端代码找到加密的JavaScript函数多数情况存在于单独的js文件中通过src引入将其在gophish的HTML编辑框中删除阻止表单数据被加密
以上5点是在实践中总结出来的宝贵经验或许还有其他许多坑未填但所有的坑通常都围绕在forminput //form结构中所以如果遇到新坑先将该结构排查一遍还是不行再另辟蹊径。 所以我们在构造钓鱼页面的时候也是最复杂的这里页面需要大家自己构造因为不同的场景构造的钓鱼页面也是不一样的这里我放模板出来也没有意义如果后面有需要的话我后面在补充。
5.3.3Email Templates 钓鱼邮件模板 这里给一个做好的模板照片导入.eml格式的目的是为了套用格式使其看起来更加真实如下图是我做的一个 5.3.4Users Groups 用户和组 要么Add单独添加如果量少的话。批量添加的话就是Download CSV Template点击这个下载模板然后按照格式填入进去在点击旁边红色的按钮导入即可。
5.3.5Campaigns 钓鱼事件
Campaigns 的作用是将上述四个功能Sending Profiles 、Email Templates 、Landing Pages 、Users Groups联系起来并创建钓鱼事件
这个模块就是把之前的全部添加进去这里需要将的就是URL这一个和Launch Date、Send Emails By (Optional) url填入我们之前cloudflare里面设置的域名
https://bittbi.com这样我们点击跳转以后就会跳转到https这个页面同时也使用的是https浏览器也不会报错看起来更真实而且我们使用了cdn让蓝方队员难以溯源。
Launch Date:
Launch Date 即钓鱼事件的实施日期通常如果仅发送少量的邮箱该项不需要修改。如果需要发送大量的邮箱则配合旁边的Send Emails By效果更佳。Launch Date作为起始发件时间Send Emails By 作为完成发件时间而它们之间的时间将被所有邮件以分钟为单位平分。例如Launch Date的值为2023.06.2209:00Send Emails By的值为2023.06.2209:04如果我们需要发送50封邮件那么每分钟发送的邮件就是邮件总数/分钟数50/510也就是每分钟发送10封。这样的好处在于当需要发送大量的钓鱼邮件而发件邮箱服务器并未限制每分钟的发件数那么通过该设定可以限制钓鱼邮件不受约束的发出从而防止因短时间大量邮件抵达目标邮箱而导致的垃圾邮件检测甚至发件邮箱服务器IP被目标邮箱服务器封禁。
5.3.6Dashboard 仪表板
当创建了钓鱼事件后Dashboard 会自动开始统计数据。统计的数据项包括当创建了钓鱼事件后Dashboard 会自动开始统计数据。统计的数据项包括邮件发送成功的数量及比率邮件被打开的数量及比率钓鱼链接被点击的数量及比率账密数据被提交的数量和比率以及收到电子邮件报告的数量和比率。另外还有时间轴记录了每个行为发生的时间点。另外还有时间轴记录了每个行为发生的时间点 六总结
整个钓鱼邮件就搭建好了这里和以往其他文章不一样的地方在于新增了https协议让其看起来更真实使用了cdn让蓝队增加溯源难度更加贴合红队以及常见钓鱼攻击者的攻击手法。其次就是在构建域名的时候我们用了https证书和cdn网易邮箱或者qq邮箱在识别我们链接的时候不会拉黑和提示垃圾邮件因为我们整个域名处于白名单状态可以饶过网易邮箱的策略。最后唯一需要注意的就是在邮箱构建模块和网页构建这两个部分需要投入很多的精力去伪造伪造的越好钓的鱼就越多识别是否钓鱼邮件的最稳的方法就是查看域名通过查看域名的方式来判断无疑是最合适的方法。在最后再次声明本次教学分享只为知识探讨和学习利用钓鱼网站骗取银行卡或信用卡账号、密码等私人资料属于非法行为请不要进行任何非授权的网络攻击由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失均由使用者本人负责文章作者不为此承担任何责任。
