红队笔记之邮箱伪造实战

2024-01-17 18:51| 来源: 网络整理| 查看: 265

在这里插入图片描述

文章目录技术要点理由的合理性不管的危害性操作的简易性操作步骤分析目标准备软件准备邮件服务准备可以搭建smtp服务的服务器安装smtp服务配置smtp服务启动smtp服务测试smtp服务安装mailx使用mailx发送测试邮件安装gophish下载解压修改配置授权并启动登录gophish建立发送策略准备钓鱼网站撰写邮件制作模板配置被攻击者群组配置攻击任务等待上钩邮箱钓鱼属于常用钓鱼手段的一种，其利用在信息收集阶段对于被攻击组织或个人的了解到的信息，伪造邮件，通过邮件的方式引导被攻击者下载安装木马文件或者登录钓鱼网站，最终达到获取被攻击者电脑权限或凭证信息的目的。下面将介绍钓鱼邮件的技术要点以及详细步骤。

技术要点理由的合理性

理由的合理性是让被攻击者能够对邮件内容产生信任，只有有了初步的信任才能有效的进行下一步的引导，这里3个重点

1、邮件的发件人模拟被攻击者的熟人或上级，以便被攻击者能够有充分的信任

2、邮件内容要贴合被攻击者的日常工作或是生活

3、如邮件包含附件或外链，附件样式和外链的地址要与真实的样式保持一致

不管的危害性

说明不处理对受害人带来的危害，会有什么损失，进而使得受害人为了避免损失不得不按邮件内容进行操作。

操作的简易性

此处也较为关键，不轮是远控木马还是钓鱼网站操作一定要简单，所谓简单就是这些操作基本是靠人的潜意识完成，不要触发人进行思考，一旦触发人的思考会带来两个问题，一重新审视邮件的合理性，二因为操作难度过大可能操作失败。就好比现实生活你拿着杆去钓鱼，上了饵料甩了杆，鱼儿上不上钩都很难说，如果你再将鱼钩外面套个塑料带，试问鱼儿要想上钩要克服多大的困难。

操作步骤

整个钓鱼过程大致分为四个步骤，以下针对每个步骤进行介绍

分析目标

通过信息收集技术，收集目标的社会关系，邮箱地址，常用网站，等信息方便进一步的利用。

如被攻击者是学生，我们可以分析其所在院校，所用教务系统，学校的邮箱等信息进行下一步的利用。

准备软件

软件的准备需要准备两类，1、邮件服务器、2、钓鱼网站或远控程序等，下面分别进行介绍

准备邮件服务

如使用现有的邮件服务很难模拟发件人信息，发件人无法信任可能整个钓鱼过程只能被迫终止

准备可以搭建smtp服务的服务器

条件1：具备公网ip

条件2：可以访问常用的目标邮件服务器，可以使用telnet进行测试

telnet smtp.qq.com 25

如下图即为可以进行连接

安装smtp服务 yum install postfix -y

查看是否安装成功

yum search postfix

配置smtp服务 # 1、编辑模式打开配置文件 vi /etc/postfix/main.cf # 2、以下为具体要修改的内容(注意所有Key必须保证唯一！！！) ----------------------------------------------------- # 设置myhostname myhostname = mail.myhostname.com [email protected] # 设置mydomain mydomain = myhostname.com # 设置myorigin myorigin = $mydomain # 设置inet_interfaces inet_interfaces = all # 设置inet_protocol，推荐ipv4，如果⽀持ipv6，则可以为all inet_protocols = ipv4 # 设置mydestination mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain # 设置mynetworks，这里需要注意第一个地址范围需要修改成服务器对应的内⽹IP地址范围！！ mynetworks = 10.38.240.0/24，127.0.0.0/8 # 设置home_mailbox邮件保存⽬录 home_mailbox = Maildir/ # 设置banner。 smtpd_banner = $myhostname ESMTP ----------------------------------------------------- # 3、保存并退出 :wq 启动smtp服务 systemctl start postfix # 查看是否启动 systemctl status postfix

如下图smtp服务已经启动成功

测试smtp服务安装mailx

教务处[email protected]

yum install mailx -y ，, 使用mailx发送测试邮件 echo "email content" | mail -s "title" [email protected](换成你自己的测试邮箱) 安装gophish 下载解压 # 下载 wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip # 解压至gophish unzip gophish-v0.10.1-linux-64bit.zip -d ./gophish 修改配置 root@ubuntu:~$ vi config.json { //后台管理配置 "admin_server": { "listen_url": "0.0.0.0:3333", // 远程访问后台管理 "use_tls": true, "cert_path": "gophish_admin.crt", "key_path": "gophish_admin.key" }, "phish_server": { "listen_url": "0.0.0.0:80", "use_tls": false, "cert_path": "example.crt", "key_path": "example.key" }, "db_name": "sqlite3", "db_path": "gophish.db", "migrations_prefix": "db/db_", "contact_address": "", "logging": { "filename": "", "level": "" } } 授权并启动 # 授予执行权限 chmod +x gophish # 启动gophish ./gophish

如上控制台会输出用户名与密码，需要记住！！！

登录gophish

https://ip:3333/login

建立发送策略

此处需要注意

1、From字段：为邮件的发件人，需要注意伪装

2、Host字段：因为我们搭建了自己的smtp所以填写自己的本地和端口即可，使用其他邮箱服务记得

username，password字段同理，因为我们上面的smtp没有设置故空着即可

3、Email Headers字段：为了躲避有些邮箱的拦截策略可以伪装邮箱的头文件规避拦截策略

设置好后我们可以给自己邮箱发送一个邮件测试一下；

至此邮件服务器调试完毕

准备钓鱼网站

为例演示方便这里使用cobaltstrike制作钓鱼网站

【Attacks】–>【Web Drive-by】–>【Web Drive-by】–>【Clone Site】–>【先写目标网站进行克隆】–>【得到钓鱼网站】

gophish也具备钓鱼网站制作的功能也可以尝试使用

撰写邮件制作模板

这里需要注意技术要点所以内容进行撰写（使用html进行编写方便域名的伪装）

配置被攻击者群组

将你要攻击的邮箱添加进来

配置攻击任务

Landing Page与url随意填写即可，因为我们用的cobaltstrike的钓鱼网站所以gophish的我们可以不用理会，其他内容按照之前配置的内容进行选择即可

配置后被攻击人即可收到对钓鱼邮件

等待上钩

不管是远控还是钓鱼，此步骤安心在控制端等待即可。

为了您和您家人的幸福，请不要利用文中技术在用户未授权情况下开展渗透测试！！！

《中华人民共和国刑法》

第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚

【本文地址】

公司简介

联系我们