实战 | 记某次攻防演练钓鱼专项
字数 1380 2025-08-10 08:28:29

钓鱼攻防演练专项实战教学文档

1. 项目概述

本次钓鱼攻防演练专项由客户授权组织,旨在提高员工安全意识。演练采用两种主要攻击方式:

  • 通过附件携带木马
  • 制作钓鱼页面骗取敏感信息

2. 邮件服务器搭建

2.1 服务器选择

  • 推荐配置:1核1G香港服务器(CentOS)
  • 关键检查:25端口是否开放(使用telnet smtp.163.com 25测试)

2.2 Docker安装

curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

2.3 域名准备

  • 在Godaddy等平台购买迷惑性域名
  • 需配置的DNS记录:
    • A记录指向服务器IP
    • MX记录指向mail.域名
    • SPF记录
    • DMARC记录(格式:v=DMARC1; p=none; pct=100; rua=mailto:dmarc@域名

2.4 Poste邮件服务器部署

docker run \
-p 25:25 \
-p 80:80 \
-p 110:110 \
-p 143:143 \
-p 443:443 \
-p 587:587 \
-p 993:993 \
-p 995:995 \
-v /etc/localtime:/etc/localtime:ro \
-v /opt/poste/data:/data \
--name "sometimesnaive" \
-h "mail.域名" \
-t analogic/poste.io

2.5 配置要点

  1. 首次访问WEB控制台设置管理员账号
  2. 生成反垃圾邮件TXT记录并添加到DNS
  3. 测试邮件收发功能

3. 钓鱼平台搭建

3.1 Gophish部署

docker pull gophish/gophish
docker run -it -d --rm --name gophish -p 3333:3333 -p 8003:80 -p 8004:8080 gophish/gophish

3.2 初始配置

  1. 通过docker logs gophish获取初始密码
  2. 首次登录后修改密码
  3. 配置SMTP服务器(连接之前搭建的邮件服务器)

4. 目标信息收集

4.1 邮箱获取方法

  • 通过外网信息收集发现SpringBoot信息泄露
  • 下载heapdump文件提取企业邮箱

5. 钓鱼页面制作

5.1 邮件模板设计

  • 模仿企业常用邮件系统(如某讯企业邮)
  • 构造"异地登录提醒"等有诱导性的主题

5.2 网页克隆技巧

  1. 使用浏览器插件"Save Page WE"完整保存网页
  2. 修改HTML文件:
    • 清空form表单的action属性
    • 检查并修复乱码问题
  3. 将修改后的HTML导入Gophish

6. 木马攻击方案

6.1 邮件设计要点

  • 使用调薪等敏感话题提高打开率
  • 借助ChatGPT生成专业、可信的邮件内容
  • 控制发信频率(利用Gophish的时间段发送功能)

6.2 木马制作与免杀

  1. 使用Havoc C2替代CS(因CS已被广泛分析)
  2. 生成shellcode并编写加载器
  3. 测试免杀效果

6.3 绕过邮件网关技巧

  • 对某讯企业邮:使用双层压缩,外层设置密码

7. 演练结果分析

7.1 数据统计

  • 发送邮件总数:269封
  • 邮件被打开:65次
  • 信息输入:2次
  • 木马执行:6次

7.2 成功率影响因素

  1. 发信频率控制不当导致进入垃圾箱
  2. 邮件主题吸引力不足
  3. 钓鱼页面逼真度

8. 安全意识提升建议

8.1 钓鱼邮件识别方法

  1. 检查发件人地址:
    • 是否为工作邮箱
    • 是否存在拼写异常
  2. 警惕特定主题关键词:
    • "系统管理员"、"通知"、"订单"、"发票"等
  3. 注意正文措辞:
    • 泛化问候(如"亲爱的用户")
    • 制造紧急气氛(如"今日下班前完成")

8.2 企业防护建议

  1. 定期安全意识培训
  2. 建立安全事件上报机制
  3. 对关键岗位人员加强培训
  4. 实施定期钓鱼测试

9. 技术总结

9.1 成功关键点

  1. 自建邮件服务器的灵活性和可控性
  2. Gophish平台的数据可视化和批量处理能力
  3. 针对性的信息收集和页面制作
  4. 木马免杀技术和网关绕过技巧

9.2 改进方向

  1. 优化发信策略和频率
  2. 提高钓鱼页面交互体验
  3. 开发更隐蔽的木马传递方式
  4. 完善演练后的教育培训内容

10. 法律与道德声明

  1. 所有测试必须获得明确授权
  2. 收集的数据仅用于安全评估目的
  3. 测试后应及时清理系统
  4. 遵守相关法律法规和行业规范
钓鱼攻防演练专项实战教学文档 1. 项目概述 本次钓鱼攻防演练专项由客户授权组织,旨在提高员工安全意识。演练采用两种主要攻击方式: 通过附件携带木马 制作钓鱼页面骗取敏感信息 2. 邮件服务器搭建 2.1 服务器选择 推荐配置:1核1G香港服务器(CentOS) 关键检查:25端口是否开放(使用 telnet smtp.163.com 25 测试) 2.2 Docker安装 2.3 域名准备 在Godaddy等平台购买迷惑性域名 需配置的DNS记录: A记录指向服务器IP MX记录指向mail.域名 SPF记录 DMARC记录(格式: v=DMARC1; p=none; pct=100; rua=mailto:dmarc@域名 ) 2.4 Poste邮件服务器部署 2.5 配置要点 首次访问WEB控制台设置管理员账号 生成反垃圾邮件TXT记录并添加到DNS 测试邮件收发功能 3. 钓鱼平台搭建 3.1 Gophish部署 3.2 初始配置 通过 docker logs gophish 获取初始密码 首次登录后修改密码 配置SMTP服务器(连接之前搭建的邮件服务器) 4. 目标信息收集 4.1 邮箱获取方法 通过外网信息收集发现SpringBoot信息泄露 下载heapdump文件提取企业邮箱 5. 钓鱼页面制作 5.1 邮件模板设计 模仿企业常用邮件系统(如某讯企业邮) 构造"异地登录提醒"等有诱导性的主题 5.2 网页克隆技巧 使用浏览器插件"Save Page WE"完整保存网页 修改HTML文件: 清空form表单的action属性 检查并修复乱码问题 将修改后的HTML导入Gophish 6. 木马攻击方案 6.1 邮件设计要点 使用调薪等敏感话题提高打开率 借助ChatGPT生成专业、可信的邮件内容 控制发信频率(利用Gophish的时间段发送功能) 6.2 木马制作与免杀 使用Havoc C2替代CS(因CS已被广泛分析) 生成shellcode并编写加载器 测试免杀效果 6.3 绕过邮件网关技巧 对某讯企业邮:使用双层压缩,外层设置密码 7. 演练结果分析 7.1 数据统计 发送邮件总数:269封 邮件被打开:65次 信息输入:2次 木马执行:6次 7.2 成功率影响因素 发信频率控制不当导致进入垃圾箱 邮件主题吸引力不足 钓鱼页面逼真度 8. 安全意识提升建议 8.1 钓鱼邮件识别方法 检查发件人地址: 是否为工作邮箱 是否存在拼写异常 警惕特定主题关键词: "系统管理员"、"通知"、"订单"、"发票"等 注意正文措辞: 泛化问候(如"亲爱的用户") 制造紧急气氛(如"今日下班前完成") 8.2 企业防护建议 定期安全意识培训 建立安全事件上报机制 对关键岗位人员加强培训 实施定期钓鱼测试 9. 技术总结 9.1 成功关键点 自建邮件服务器的灵活性和可控性 Gophish平台的数据可视化和批量处理能力 针对性的信息收集和页面制作 木马免杀技术和网关绕过技巧 9.2 改进方向 优化发信策略和频率 提高钓鱼页面交互体验 开发更隐蔽的木马传递方式 完善演练后的教育培训内容 10. 法律与道德声明 所有测试必须获得明确授权 收集的数据仅用于安全评估目的 测试后应及时清理系统 遵守相关法律法规和行业规范