常规钓鱼手法
0x01 简介
第一步发送探针,探测对方人员安全意识、网络环境等;第二步发送免杀exe
细分下来大概就是:
服务器搭建web存放探针文件 → 注册一个与目标相似的邮箱 → 生成短链接发送;
CS生成c的paylaod → shellcode免杀 → 捆绑pdf、word等文件并添加图标 → 发送木马。
0x02 探针部分
vps开启web服务并安装php环境
php探针代码
1 | <?php |
主要是记录访问者访问时间、IP、UA信息并保存
我这里设置名字为index.php,然后在最后加了一个跳转到pdd首页,这个根据具体情况修改
cHJvYmVpbmZv.txt是存放所有访问记录的文件,base加密防止被别人轻易找到
根据出口IP和UA信息可以大致判断出对方网络环境是办公网还是家庭宽带、手机还是PC及浏览器信息。
用qq邮箱注册了一个英文账号
也可以防止被邮件服务器当成垃圾邮件
0x03 制作木马
涉及到的工具:https://github.com/Pizz33/GobypassAV-shellcode
生成payload
使用Base85+XOR+RC4+hex免杀
替换encode.go里边的shellcode内容执行
1 | go run en.go |
这一步有可能会被检测,如果生成不成功可以关闭杀软再次尝试
将以上加密后的结果替换到decode.go中encodedMessage参数执行
1 | go build decode.go |
这个工具目前免杀效果还是很不错的
生成的exe需要用管理员权限执行
捆绑
工具:https://github.com/Yihsiwei/GoFileBinder
邮箱收集
邮箱查询个人用得比较多的是https://phonebook.cz
另外还有几个其他的
https://hunter.io
http://www.skymem.info
https://www.email-format.com/i/search
发送的时候收件人可以写自己,然后抄送给目标员工,这样不容易被发现