一、前置知识<
什么是钓鱼:
网络钓鱼是目前最常见的攻击手法之一,通过信息收集,获取受害者们的邮箱、姓名、职务、手机等个人信息,再利用社会工程学手段进行攻击,所谓社会工程学,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪心等心理缺陷进行诸如欺骗、伤害等危害手段,在生活工作中,最常使用的邮件,各种文档也成为黑客常用的攻击载体,近些年来,网络钓鱼攻击趋势也一直是增长趋势,特别是在APT攻击,勒索软件等事件中,扮演了重要的角色。
SMTP协议:
SMTP全称是 Simple Mail Transfer Protocol, 是一种提供可靠且有效的电子邮件传输的协议 SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知,其重要特性之一是其能跨越网络传输邮件,即“SMTP邮件中继”。使用SMTP,可实现相同网络处理进程之间的邮件传输,也可通过中继器或网关实现某处理进程与其他网络之间的邮件传输。
- SMTP默认端口:25
- SSL SMTP默认端口:465
POP协议:
POP的全称是 Post Office Protocol,即邮局协议,用于电子邮件的接收,常用的是第三版 ,所以简称为POP3,POP3仍采用Client/Server工作模式,Client被称为客户端,一般我们日常使用电脑都是作为客户端,而Server(服务器)则是网管人员进行管理的。举个形象的例子,Server(服务器)是许多小信箱的集合,就像我们所居住楼房的信箱结构,而客户端就好比是一个人拿着钥匙去信箱开锁取信一样的道理。
- POP3默认端口:110
IMAP协议:
IMAP全称是 Internet Message Access Protocol 以前称作交互邮件访问协议,是一个应用层协议。主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载,可以通过客户端直接对服务器上的邮件进行操作。
- IMAP默认端口:143
SPF && DKIM && DMARC:
SPF全称是 Sender Policy Framework , 中文发件人策略框架,由于SMTP协议设计过于简单,攻击者可以轻易的伪造邮箱,所以SPF的作用是防范垃圾邮件而提出来的一种DNS记录类型,当然SPF也是可以被绕过的,它是一种TXT类型的记录,邮件接收方首先会去检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件并进行退回,使用方法:
nslookup -type=txt qq.comDKIM全称是 DomainKeys Identified Mail 电子邮件验证标准——域名密钥识别邮件标准, 同样依赖于DNS的TXT记录类型,一般来说,发送方会在电子邮件的标题插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开密钥后进行验证。
DMARC全称是 Domain-based Message Authentication, Reporting and Conformance , 2012年1月30号由Paypal,Google,微软,雅虎等开发,相关内容有DMARC协议。 一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议 由Mail Sender方(域名拥有者Domain Owner)在[DNS]里声明自己采用该协议。当Mail Receiver方(其MTA需支持DMARC协议)收到该域发送过来的邮件时,则进行DMARC校验,若校验失败还需发送一封report到指定[URI](常是一个邮箱地址)。
二、前期准备<
基础设施:
在进行钓鱼之前,需要准备一些邮箱服务,国内比较多的是网易163,qq等等,国外网站有hotmail、outlook等等,这里使用网易邮箱进行搭建stmp服务,然后链接到Cobalt Strike上,使用Cobalt Strike进行发送钓鱼邮件
- 首先登录网易163账号,点击POP3/SMTP/IMAP,再点击开启pop3/smtp服务,图中已开启,在开启时还会有个授权码
- 在Mali Server处添加邮件
Host:输入smtp.163.com Port:输入465 Username:输入自己的邮箱 Password:输入开启smtp服务时所生成的授权码 Connection:选择ssl- 制作钓鱼邮件,Attacks –> Speah Phish
Targets:受害者邮箱 Template:邮件 Attachment:附件 Embed URL:地址 Mail Server:邮箱系统
- 制作受害者邮箱,格式如下
受害者1@xxx.com snail 受害者2@xxx.com snail 受害者3@xxx.com snail- 使用qq给163发送一封钓鱼邮件,然后在更多 –> 导出邮件处导出邮件,后缀为.eml
- 把受害者邮件以及钓鱼邮件导入,点击send就会像受害者发送邮件
- 在send email可以看到详细信息
钓鱼话术:
这里介绍一些常用的钓鱼话术,当然在实际情况中,要结合受害者信息进行修改
- 网页模板
各位同事,大家好! 网络安全为人民,网络安全靠人民。 本周为网络安全知识学习周,根据统一安排,本周五将开展全员的线上保密意识考试,目前已将相关学习视频上传到E-Learning上,请各位同事及时登录学习,试题将会从视频中的知识点里抽取。请各位认真学习观看视频。考试未通过者将由人力资源部进行相关处罚。 平台地址:登录地址 ------------------------------------------ (请删除括号部分,输入发送人名) 人力资源部 (请删除括号部分,输入公司名称) (请删除括号部分,输入地址信息) 电话:(请删除括号部分,输入电话信息) 邮箱:test@outlook.com 邮编:200041- 网络安全培训
各位同事,大家好! 网络安全为人民,网络安全靠人民。 本周为网络安全知识学习周,根据统一安排,本周五将开展全员的线上保密意识考试,目前已将相关学习视频上传到学习平台上,请各位同事及时登录学习,试题将会从视频中的知识点里抽取。请各位认真学习观看视频。考试未通过者将由人力资源部进行相关处罚。 平台地址: xxx Best wishes ---------------------------- IT部 xxxxx xxxxxxxx- 护网行动通知
为确保x月份xxx省公安厅主办的重点保障活动(以下简称活动)的成功实施,全面保障我xxx的信息系统安全,现要求对各服务器及个人终端进行弱口令自查。 安全口令要求: 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。 4.口令应该为以下四类[字符](https://baike.baidu.com/item/%E5%AD%97%E7%AC%A6)的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。 附件(弱口令自查工具) xxx. 2020年x月x日三、钓鱼实战
钓鱼网站:
钓鱼网站相信大家都遇到过,一些最初在各大QQ群常见的扫描二维码进入空间钓鱼,以及针对学生,用奖学金国家补助等登录qq邮箱,配合着特定的话术以及和原网站看起来相同的域名来提高诈骗率等等,上述这两种钓鱼方法是最为常见的方法,把源码解压到服务器,然后受害者在访问网站时会看到一个和正规网站相同的网站,从而输入账号密码等敏感信息,随后这些敏感信息就会发送到攻击者后台,这里介绍一下使用Cobalt Strike伪造网站的方法,位置:Attacks –> Web Drive-be –> Clone site
上述分别对应的是
Clone URL:所克隆网站的url Local URL:本地url Local Host:host Local Port:端口 Attack:搭建内容(木马) Log key:是否开启键盘监听(此处选上)此处对百度进行伪造,输入百度链接就行了
然后随便输入个什么字符,cs这边都能接收到,这边就不放图了,有兴趣的自己尝试 
- 护网行动通知
- 网络安全培训
- 网页模板
