打点尽头是钓鱼,开始流传于安全圈。红蓝对抗几年之间,各个行业对于安全越来越重视,对于外网部署设备越来越多,例如:FW、WAF、IDS、IPS等,在外网打点时越来越难,往往无功而返。
在红蓝领域里,盾越来越牢固,矛也会越来越尖锐,在相爱相杀中催生出无数经典手法,而钓鱼攻击属于最常见经典手法,在18年的时候还不怎么常见,19年开始到现在已经成为必不可少的且成本较低的有效手法。
钓鱼攻击手法很多,本文以搭建Gophish钓鱼网站,还原邮件钓鱼的基本操作流程,希望在网络安全问题凸显隐患时抛砖引玉,让更多的人少中钓鱼攻击,提高安全意识。
Gophish钓鱼是一个开源项目,主要目的为企业和渗透测试人员涉及的网络钓鱼工具包。它提供图形界面,操作简单,拥有一键批量下发,也可以让我们快速轻松设置执行模拟网络钓鱼攻击。
网站地址:
https://github.com/gophish/gophish/releases
一台VPS,一个域名(因本地做实验,故不做此步骤展示)
进入后台后会发现有九大功能分别是Dashboard仪表板 、Campaigns钓鱼事件 、Users & Groups接受用户&组 、Email Templates邮件模板 、Landing Pages钓鱼页面 、Sending Profiles发件策略、Account Settings账户设定、User Management用户管理、Webhooks网络钩子。待会将会一一介绍常用功能点,由于用法不是按照功能点顺序,这里将以模拟创建钓鱼网站时介绍。
-
进入到Gophish目录,对config.json进行修改后台配置;
-
Admin_sevrer是web访问管理后台,Phish_server是钓鱼时钓鱼页面的端口;
-
可根据实际情况进行修改配置,如不需要可以默认下一步。
-
vim config.json
开始使用
-
开启gophish钓鱼之旅
注意:gophish在长时间运行可能会掉线,如果需要可以使用nohup与&挂在后台,另外新版本的Gophish密码在运行时会自动生成,如下图:nohup ./gophish &
From:收件人,也就是要发给的邮箱(图1)
Host:这里使用QQ作为测试,可以在QQ邮箱查找qq的smtp,一般厂商使用465端口。(图2)
Username:发送人邮箱账号,笔者在这使用的是qq账号做测试(图1)
Password:发送人邮箱密码,这里不能使用qq密码,而是需要使用smtp里提供的授权码。(图3)
Email Headers:自定义邮件头字段,如果不修改此值,通过gophish发送的邮件,其邮件头的X-Mailer默认为gophish.(图4)
证明配置成功(注意:钓鱼尽量不要使用自己邮箱以及vps)(图5)
图1
图2
图3
图4
图5
-
点击New Page新建页面。然后使用Import Site导入需要伪造的URL。下面使用xxxx.com来进行测试 。(图6 )
注意:如果需要钓鱼账号密码,Capture Submitted Data 一定要勾选,勾选后会出现Capture Passwords,默认即可。
在点击Capture Submitted Data 后会出现Redirect to,这功能为了效果逼真,当受害者输入账号密码后重定指定的URL。例如:输入之后报账号密码再跳转到真正URL里重新输入一遍,这样防止用户怀疑。
-
可能会遇到的坑
在导入真实网站的时候,有可能无法进行抓到密码,必须需要form 表单,以及登陆时很多导入网站的都用button,导致我们一直无法点击,所以必须将button修改为submit,因为这里给个思路:
1、将需要导入的网站保存下来,然后右击源代码复制进去。
2、网上找一个form简单表单,对着修改进去,例如:
<form method="post" action=""><input type="text" required="required" placeholder="用户名" name="u"/><input type="password" required="required" placeholder="密码" name="password"/><button type="submit">登录</button></form>
图6
Email Templates
Subject:填写邮件主题,可以根据结合实际情况写出一个有吸引力的标题。
Gophish有两种编辑钓鱼邮件模板:
第一种:“Import Email”;(图7)
先在邮件系统中设计好钓鱼邮件,然后发送给自己或者其他人,当收到设计好的邮件时,打开并选择“导出EML文件”或者“显示邮件原文”,然后将内容复制到“import email”中,即可设计好钓鱼邮件导入。
注意:在”impor email”的时候默认勾选的”Change Links to Point to Landing Page”,意思是自动将邮件里的超链接变成钓鱼网站的URL。
第二种:直接编辑;
-
Text跟html两种,我们可以在text编写内容,然后在html里查看预览。
-
Add Tracking Image:是在钓鱼邮件末添加一个“跟踪图像”,用来跟踪受害者是否打开邮件,默认情况下是勾选的。(注意:如果需要使用URL跳转的话,可将跳转的URL设置为官方给的参数:{{.URL}},更多参数请参考官方参数)(图8)
例如:点击www.baidu.com会跳转到制作好的钓鱼网站里
Add Files:在发送的邮件中“添加附件”,在结合实际情况中,是否使用文件附件,也可以配合我们的cs免杀木马,只要受害者点击即可上线。
图7
图8
Name:给本次发送用户&组命名
Bulk Import Users:如果需要广撒网钓鱼,可以使用批量导入用户邮箱,旁边”Download CSV Template”是模板文件,按照模板文件填写即可。其中,模板文件的“Email”是必填项,其余的“Frist Name” 、“Last Name”、“Position”皆可选填。
Add:单个目标用户的邮箱,比较适用于精准钓鱼。
图8
图9
Name:钓鱼事件进行命名
Email Template:钓鱼邮件模板,选择我们做好的Email Template
Landing Page:钓鱼网页,选择我们做好的Landing Page
URL:URL填写目前运行gophish主机的ip跟phish_server端口,刚才我们启动的时候监听了两个端口,除了3333端口还有一个80端口,填写80端口后,gophish会在主机的80端口部署钓鱼事件所选定的钓鱼页面,并在发送的钓鱼邮件里,将所有的超链接都替换成部署在80端口的钓鱼页面的url,并且每个接收者在收到URL时给rid参数后的随机,用于区分钓鱼用户。
Launch Date:钓鱼事件的发送日期。
Send Emails By(可选):当批量发送的时候,可能会导致垃圾邮件检测,这时会平均发送邮件。就是假设需要发送100封邮件,与Launch Date配合发送10分钟内发送完,那么就会平均发送邮件,不至于造成大量邮件发送。
Sending Profile:发送配置策略,选择我们做好的Sending Profile
Groups:接收钓鱼邮件的目标用户组,选择我们做好的users&Groups.
图10
Dashboard
当使用Campaigns发送完毕后,Dashboard 会自动开始统计数据。统计邮件发送成功的数据、邮件打开数量、钓鱼连接被打开数量、账号密码数据被提交数量、电子邮件报告数量、记录每个行为发生时间点。
点击点击View Results按钮即可看到单个钓鱼详细事件以及账号密码。
图11
学以致用,学了钓鱼又怎么能不是手动实践一下呢。按照以上钓鱼进行钓一下我的”好兄弟”们。
按照上面案例做一个模板,然后发到自己邮箱里,为了效果逼真,使用了短连接,如下图:
图12
然后”找”我的hxd帮帮忙
图13
收网下班走人
图14
图15
本文章仅限于学习,请勿使用非法行为!!!
文稿:Zer0n1
编辑:翻身咸鱼
原文始发于微信公众号(A9 Team):邮件钓鱼指南——Gophish实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论