红队APT基础 | 钓鱼邮件制作与发件人伪造

admin 2025年5月6日16:37:57红队APT基础 | 钓鱼邮件制作与发件人伪造已关闭评论4 views字数 2431阅读8分6秒阅读模式

前情提要

前面我们学习了如何快速的搭建一个钓鱼服务器,如何进行快速的钓鱼。但还不够,因为对于钓鱼来说,每个的细节都需要我们尽可能的把握,从而增加成功率。而之前的钓鱼邮件,虽然伪造了邮件部分,但却无法伪造发件人。

目标邮件

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

伪造结果

红队APT基础 | 钓鱼邮件制作与发件人伪造

区别显而易见了,发件人是不同的,并未完成真正的伪造。

你能收获什么?

获得一封近乎无暇的钓鱼邮件~,因为这个方法也不是完美的,废话不多说,直接展示成果:

目标邮件

红队APT基础 | 钓鱼邮件制作与发件人伪造

伪造邮件

网易

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

QQ

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

正式开始

我们今天涉及的服务器:香港服务器_香港云服务器_海外服务器租用托管商-恒创科技

我们今天涉及的工具是:EwoMail开源邮件服务器软件

为什么选用这两个呢?

关于服务器有三点讲究:

1.免费~嘿嘿,最重要的嘛,演示不选一个免费的那不是坑大家吗

2.服务器没有封闭25端口,阿里云、华为云、腾讯云这些都是会封闭25端口的,你说解封?你想吃紫蛋了我看,哈哈,开玩笑。

3.需求centos7/8 64位系统,CPU:1核,内存:2G,硬盘:40G,带宽:1-3M

4.香港服务器,或者海外的服务器,为什么?因为这两类服务器域名不用备案。什么?你说你要去备案,我看你是没被溯源过~

红队APT基础 | 钓鱼邮件制作与发件人伪造

首先看看免费服务器怎么领取

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

然后自己申请吧,需要实名认证,手机号绑定。

申请好后,使用工具(MobaXterm_Personal)连接即可。

什么你说你不懂什么叫MobaXterm_Personal,那你可以去看看:

不会有人2025了还不会反弹shell吧?让你的反弹shell从0到1! - FreeBuf网络安全行业门户

这篇文章的知识点一有提到(照顾小白师傅~)

那么准备好服务器我们就去申请域名

红队APT基础 | 钓鱼邮件制作与发件人伪造

那么我们就以这个目标为例嘛,需要申请的一个域名肯定要和他相似

如何申请呢,简单复制粘贴

红队APT基础 | 钓鱼邮件制作与发件人伪造

诶可以发现为什么没有info.sendcloud.me这样的域名。

因为info其实是子域名,是前缀,等等也会讲到如何复刻

红队APT基础 | 钓鱼邮件制作与发件人伪造

那么为了实验环境,我肯定是买个便宜的

红队APT基础 | 钓鱼邮件制作与发件人伪造

买完后审核要一段时间,可以顺便去搭建~

红队APT基础 | 钓鱼邮件制作与发件人伪造

根据它的安装命令,我们一步一截图,这个步骤都是实测过的,2025实测可用~

建议打开手册,从手册上面复制命令(不整虚的,保证大家的复现成功率~):

http://doc.ewomail.com/docs/ewomail/install

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

这里完成以后就可以下载命令了~

红队APT基础 | 钓鱼邮件制作与发件人伪造

记得下面的下载要把ewomail.cn替换为你自己的域名!

红队APT基础 | 钓鱼邮件制作与发件人伪造

实测用Gitee的访问不到,那么我们就用GitHub的。

一直到git clone https://github.com/gyxuehu/EwoMail.git这个命令输完就停手

红队APT基础 | 钓鱼邮件制作与发件人伪造

就是有点慢,耐心等待吧,下载过程中查看你申请的域名

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

然后点击解析设置,可以查看到官网文档里有表格,当然不会的可以看我一步一步做

红队APT基础 | 钓鱼邮件制作与发件人伪造

第一个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第二个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第三个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第四个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第五个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第六个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第七个

红队APT基础 | 钓鱼邮件制作与发件人伪造

第七个是不是没配,因为需要你安装好后再进行配置。

继续做上面没做完的安装操作,复制域名,粘贴命令 sh ./start.sh 域名

注意:这里不一定每个人都会报错,我用的这个服务器会报错,所以如果全程跟我用一样的东西,涉及到的报错都能解决。

如果没有解决,请回头看看自己是不是那一步做错了或者没做。

不出意外会报错:那么你就输入sudo rm -f /etc/yum.repos.d/epel*.repo

然后再运行

红队APT基础 | 钓鱼邮件制作与发件人伪造

就会出现新的报错,没关系

继续输入解决报错命令

yum install ca-certificates

红队APT基础 | 钓鱼邮件制作与发件人伪造

update-ca-trust force-enable

update-ca-trust extract

wget -O /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo

红队APT基础 | 钓鱼邮件制作与发件人伪造

然后再输入安装命令,这次就能成功了

红队APT基础 | 钓鱼邮件制作与发件人伪造

看到这里的回显,恭喜你基本上就已经成功了~

红队APT基础 | 钓鱼邮件制作与发件人伪造

最后这样就是成功啦!别急,还记得上面第七个还没配置

所以根据文档

红队APT基础 | 钓鱼邮件制作与发件人伪造

amavisd -c /etc/amavisd/amavisd.conf showkeys使用这个命令

红队APT基础 | 钓鱼邮件制作与发件人伪造

然后复制这一段

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

然后就需要去到刚刚阿里云配置的地方进行配置了

红队APT基础 | 钓鱼邮件制作与发件人伪造

配置完成后,我们就可以使用

http://45.207.39.114:8000/邮件发射服务器,记得替换为你的服务器ip地址!

红队APT基础 | 钓鱼邮件制作与发件人伪造

http://45.207.39.114:8010/邮件管理服务器!

红队APT基础 | 钓鱼邮件制作与发件人伪造

首先登录邮件管理服务器

默认密码

红队APT基础 | 钓鱼邮件制作与发件人伪造

进去后记得更改密码(因为在公网,小心被别人攻击了~),然后就可以创建了

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

创建完邮箱,然后去到8000端口

红队APT基础 | 钓鱼邮件制作与发件人伪造

用刚刚创建的邮箱和密码

红队APT基础 | 钓鱼邮件制作与发件人伪造

发送一封邮箱测试一下

红队APT基础 | 钓鱼邮件制作与发件人伪造

可以看到发送域名[email protected],稳啦。

那么我们前面有一个坑,目标的域名不是info.sendcloud.com吗。这个info怎么办?

简单呀,看文档

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

重复刚刚的操作,是不是就得到了一个一模一样的~

红队APT基础 | 钓鱼邮件制作与发件人伪造

那么我们回到gophish中。

红队APT基础 | 钓鱼邮件制作与发件人伪造

配置其实很简单啊,将自己创建的服务器填上去。

smtp.替换为自己的域名:25

密码就是自己刚刚创建的那个邮件服务器密码。

然后就可以测试一下发送~

往后就很简单啦,和第一篇文章是一模一样的。

红队APT基础 | 钓鱼邮件制作与发件人伪造

导出这个,复制后粘贴

红队APT基础 | 钓鱼邮件制作与发件人伪造

最终效果

红队APT基础 | 钓鱼邮件制作与发件人伪造

咋样,牛逼不牛逼厉害不厉害~

当然还有坑点没有解释~

所有的域名都可以伪造吗?

理论上可以,但实际上呢?

看两个对照实验,比如我想伪造[email protected]这个域名

我发到QQ邮箱,你会发现

红队APT基础 | 钓鱼邮件制作与发件人伪造

它会被退回,而如果我发送到网易邮箱中呢?

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

就成功伪造了。

再看一组,肯定因为有人好奇,我为什么不用info.sendcloud.asia域名做示例,因为我懒,这里补一个截图先。

红队APT基础 | 钓鱼邮件制作与发件人伪造
红队APT基础 | 钓鱼邮件制作与发件人伪造

你看QQ的第一封邮件会出现在垃圾箱里,而第二封就不会了。

而网易邮箱
红队APT基础 | 钓鱼邮件制作与发件人伪造

一个垃圾邮件都没有。

综上所述,这表示什么?表示每个邮件系统的策略其实是不一样的,而我们在操作过程中,应该首先弄明白每个邮件各自的策略,从而更好的进行钓鱼邮件攻击。

好啦,今天就差不多到这了,最后祝大家天天开心、快快乐乐~

原文始发于微信公众号(德斯克安全小课堂):红队APT基础 | 钓鱼邮件制作与发件人伪造

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日16:37:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队APT基础 | 钓鱼邮件制作与发件人伪造https://cn-sec.com/archives/4033346.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.