攻防演练中钓鱼全流程梳理

攻防演练中，传统的web打点在没有0day的条件下变得非常困难，钓鱼成为一种相对容易的打点方式。本篇文章将介绍个人总结的钓鱼全流程，包括发送阶段注意事项、钓鱼话术、上线后注意事项。

本文不讨论免杀技术，均在当前已有一个能过国内主流杀软的exe，想让目标上线至我们C2服务器的情境下展开。

个人偏向于通过邮件来实施钓鱼，文章将重点讲解钓鱼邮件的全流程。当然电话、wx钓鱼的方式成功率更高，也需要更强的社牛属性。

1、邮箱收集

网页泄露：官网联系邮箱、招标文件、招聘信息、投诉邮箱等等。

查询工具：https://hunter.io/searchhttp://www.skymem.info/srch

2、少用群发

群发的邮件内容定制化程度低、可信度低，一旦被发现认定为钓鱼邮件，防守方会对木马文件进行分析，进而导致辛辛苦苦做好的免杀马被上传到云平台，最终失去免杀效果。

我个人偏向于通过常规163邮箱来发送邮件，gophis等钓鱼工具用的不是很熟练。

当然，如果想要尝试群发，需要开启选项：“分别发送”，不然收件人会知道你同时发了很多邮件给别人，很容易被识别出来这是一封钓鱼邮件。

3、修改邮箱前缀和昵称

邮箱的昵称是可以多次更改的，每次发送邮件前修改昵称，使昵称更符合情景。收件人先看到的是你的昵称，而不是邮箱号。

4、使用代理

收件人可以看到发件人发件时的IP，请选择一个合适区域的代理，不要远到国外，也不要暴露自己真实的IP。

5、绕过邮件网关

遇到邮件网关，可以尝试压缩包加密、或将恶意链接修改为二维码图片。

在不同场景要有不同的钓鱼话术，接下来将从HR、企业、xx局三个目标来定制不同话术。

HR->简历

针对HR通常将木马伪造成简历，我通常将exe的名称加长，可以达到让受害者看不到后缀名的效果，同时使用resourcehacker修改exe图标为word、wps之类的图标，再将exe压缩后发送，实现以假乱真的效果

木马名称：“xxxxx大学——xxx简历——xxxx求职咨询.exe”

受害者看到的木马：word图标、名称为“xxxx大学——xxx简历——...”

话术如下

“HR小姐姐你好，我是即将毕业的应届生吴静静，目前就读于西南农业大学。本人家乡在xxx，希望毕业后在家乡发展，因此对贵公司非常向往，希望xxx公司能给我一个面试机会或是求职建议，我的简历放在附件，希望您能给我一个机会!”

在担任防守方的时候我见过一个类似exe，实现了双击exe后自动释放正常word简历的功能，可以很大程度的缓解目标的怀疑程度（我做的马子都是双击后能上线但没有任何反应），不过实现这个功能应该需要一些代码功底，这里只是提供一种思路，有能力的师傅可以尝试实现一下。

同时，我在实战多次遇到hr在压缩包里直接点开exe，会导致CS中不能执行等操作。

具体表现为：目标上线CS后，进入beacon输入命令pwd查看当前位置，在AppDataLocalTemp目录下，就证明目标直接在压缩包中打开。

解决方案：cd到其他目录，建议 cd C:windowstemp

xx局->政务投诉

邮件标题：xx市xx局xx中高中部假期补课、乱收费举报一一投诉多次未回复

邮件内容：您好，本人对了xxxx中高中部xx期间的假期补课、乱收费的举报投诉，多次发信未回复，相关证据、图片整理在附件中，请重视!

邮件附件：证据——xxx中高中部假期补课、乱收费举报相...zip

这里邮件附件同样使用长文件名、修改图标、打包压缩的方式处理。

企业OA->杀毒软件安装

场景：此类场景通常是通过web漏洞、钓鱼信息收集、密码暴力破解等方式进入了企业OA，登入内部员工的账号，利用企业OA的内部邮件系统群发。

邮件标题：【通知】关于公司进行攻防演习期间的杀毒软件强制要求安装通知

邮件内容：公司正在进行网络安全攻防演习，为加大防范力度，提高全员网络安全意识，要求所有员工在办公电脑安装360杀毒软件(见附件)，届时安全员会随机对办公电脑进行抽查，未安装将会在公司范围通报批评。

木马处理：修改图标为360、火绒等杀毒软件图标，捆绑杀毒软件安装包，压缩处理。

二次钓鱼小技巧：在发送完钓鱼邮件后，可以等待半天的时间，发送二次钓鱼邮件，告知用户之前的邮件为恶意钓鱼邮件，需要全体员工开展电脑自查，附件附上“安全自查工具.exe”，这样可以达到以假乱真的效果，再次上线一波rou鸡。

在鱼儿上钩前，我们要先配置好CS的上线提醒，保证钓鱼上线后第一时间可以进行操作。

CS上线企微提醒：https://github.com/GitlXl/Cobalt_Strike_bot

接下来我会对上线后操作的优先级进行排序

1、隐藏

进程迁移

建议进程迁移至explorer，然后退出源进程对应的beacon

脱钩

使用github工具脱钩，可以有效规避edr

https://github.com/rsmudge/unhook-bof

unhook ntdll.dll

查询杀软

这里建议使用CS插件LSTAR，可以将查询到的杀软直接显示在CS的beacon状态栏

https://github.com/lintstar/LSTAR

重要提醒：目标上线后，无论是进行信息收集还是权限维持，在上传exe文件、运行CS插件之前，一定要测试exe、插件功能的免杀性，否则你一定会看着你beacon会话的sleep时间慢慢加直到变成灰色。（好不容易钓上来的鱼跑了，心态炸裂）

2、信息收集

抓取浏览器密码

1. CS插件抓取 SharpWeb.exe   （CS插件taowu梼杌已集成）

2. 上传应用程序运行抓取  hack-browser-data-windows-64bit.exe

https://github.com/moonD4rk/HackBrowserData

提取微信聊天记录

https://github.com/AdminTest0/SharpWxDump

该工具可以实现内存加载

execute-assembly D:工具在电脑里的绝对路径SharpWxDump.exe

翻文件

优先排查桌面文件、最近打开过的文件

查看最近打开过的文件命令

dir %AppData%MicrosoftWindowsRecent

提取运维软件密码

常见的运维软件navicat、xshell等等均可提取，梼杌等众多CS插件里均已集成，部分插件的exe不支持内存加载，再次强调使用时一定提前测试当前exe工具的免杀性能，避免打草惊蛇。

3、权限维持

权限维持这里就各显神通了，大部分钓鱼上线的主机很少有时间做权限维持，在完成上述信息收集后，已经掌握了大量运维信息、浏览器密码、密码本等信息，此时如果还有时间可以进行权限维持、挂代理的操作。

权限维持

无杀软的情况，使用CS插件的权限维持功能即可

有杀软的情况，通过wmi（需要高权限）提权有时可以绕过国内主流杀软，有需求的师傅可以搜索关键字，这里不再赘述。

需要高权限的情况，推荐关注一下最新的bypassuac文章，实测提权好用有效。（钓鱼上线主机大多为win7、win10，推荐使用bypassuac方式提权）

强关杀软

有大佬会研究出一些强关360、强关火绒的exe程序，需要各位师傅多关注微信公众号、b站视频，这类程序也具有一定免杀时效性、可用时效性，需要各位师傅自己收集。

挂代理

如果上线主机存在内网环境，可以在完成信息收集后尝试挂代理（通常电脑接在家庭网络、办公区，不通业务网，所以内网横向价值不大，挂代理优先级靠后）。本人喜欢用nps工具，使用nps要注意修补权限绕过漏洞、执行npc时不要再system用户下执行。当然网上还有一些公开的魔改frp，针对杀软和流量设备的绕过都比较好，推荐使用。

最后，希望这篇文章不仅可以完善各位红队师傅的钓鱼思路，也可以帮助企业作为经典钓鱼案例来提高员工安全意识。

钓鱼全流程梳理如有遗漏欢迎评论区补充，祝各位师傅有勾必有鱼，天天有shell拿。