临近HVV，给企业员工做一次最简单的钓鱼测试，增强网络安全意识

     最近接到任务需要给企业内部员工来一波最简单的钓鱼，加强员工网络安全意识。
因为只需要最简单钓鱼测试员工网络安全意识，所以我们本次采用最LOW的邮件钓鱼。
首先安排一个剧本吧，邮件内容就以本次两会为重点，模拟上级下发任务。内容为：

根据上级部门文件要求和工作部署，全国“两会”期间为我司网络安全重点保障时期。按上级主管部门要求，进一步强化落实了网络信息安全管理责任，对各单位网络安全负责人、联络人通知到位，并深度排查网络安全风险，及时调整网络安全策略，切实加强网络安全防范和监测措施，及时进行漏洞修补、重点加固，全力做好重要时期网络信息安全保障工作。请全体员工使用名为“火绒恶性木马专杀工具”的附件，扫描查杀电脑全部磁盘，以确保电脑内无病毒木马等，做到两会重保期间我司网络安全零事故。

然后去部署C2服务器，选择了一台腾讯云vps，安装Centos7系统，然后本次就采用Cobalt Strike来进行上线，在Centos7上安装Java环境

yum install java

查看一下java版本，应为java1.8
好了，接下来上传我们的Cobalt Strike服务端，使用命令

chmod +x teamserver

给予执行权限，vim teamserver编辑该文件修改掉默认端口。
然后先运行测试一波：

./teamserver hosts passwd

查看是否能够正常运行，然后使用命令

netstat -ltnp

查看一下端口是否已经启用。
如果以上都检查正常，接下来可以使用客户端连接服务器测试是否正常，这里我遇到了问题，我查看了腾讯云vps的防火墙放行了所有端口，端口也正常启用了，但是客户端进行连接的时候始终都是连接超时，这时候使用tcp ping该端口，显示不通，最后想起来可能是linux的iptables防火墙的原因，我们直接使用命令

iptables -F

关闭所有策略，成功！端口通了，客户端也能正常连接到服务器。
然后需要将我们的运行命令放到后台，总不能电脑一直开着xshell类的工具吧。

nohup ./teamserver hosts passwd >/dev/null 2>&1 &

接下来我们生成木马，直接生成exe木马，使用公网的免杀工具基本都已经失效了，不能达到免杀的目的，所以我们生成shellcode，也就是二进制代码，对shellcode进行处理，然后使用分离免杀的方式，自写一个加载器，来达到我们的免杀目的。
最后我们可以将我们的木马本体捆绑到各种正常的软件上，进行后台释放。
这里就不讲具体的免杀怎么做了，有兴趣的私聊我。
然后就可以收集下员工邮箱，进行批量钓鱼测试了！
千万记得不要做自启动！！不然就一个一个去给人家删吧。。。

原文始发于微信公众号（Qingy之安全）：临近HVV，给企业员工做一次最简单的钓鱼测试，增强网络安全意识