Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下如何使用Cobalt Strike发送钓鱼邮件。
使用CS钓鱼需要四个步骤:
1. 创建一个目标列表
2. 创建一个钓鱼模版
3. 选择通过哪个邮件服务器发送邮件
4. 发送邮件
当你想使用钓鱼邮件来获得内网的一个跳板时,你需要注意以下几点:
1. 你发送的邮件是给具体的某个人看的,所以这封“钓鱼”邮件做的必须要跟真的一样,可能还需要加入一些诱惑性的语句来使对方交互。
2. 你必须要使邮件通过反病毒邮件网关
3. 绕过杀毒软件以及应用白名单
如果这些都能满足,那便可以成功执行,此外你还需要担心对方的防火墙以及网络安全监控。
首先我们就来看看目标列表,就是每行一个电子邮箱的txt文档(制表符后可加上收件人名称)如下图这样:
接下来我们需要准备一个钓鱼网站的模版,这个是我从QQ邮箱上扒下来的(最后证实不可用)
那我们再从Google mail上扒下来一个广告好了:
点击show original就可以看到邮件原文,我们把内容复制到original.tamplate模版文件中。
在发送钓鱼邮件之前我们还需要准备一个钓鱼网站,而Cobalt Strike自带了克隆网站的功能,我们就来看看如何使用Cobalt Strike发送一封含有钓鱼网站链接的钓鱼邮件:
还是像以前一样先创建好一个http listener
接下来生成一个HTMl application Attack文件,这样受害者访问我们的钓鱼网站时会自动下载该文件,我们将其伪装成flash文件。
我们起个名字叫flash.hta(其实这里如果选择将文件绑定到真实的flash安装文件会更可信一些)
将这个文件上传到服务器上,Cobalt Strike提供了文件管理的功能,我们可以把本地的文件直接上传到团队服务器上。
我们从site中可以管理团队服务器上所有的开放资源,如下图所示
接下来我们再来克隆一个flash网站:
在攻击选项框中我们选择刚刚生成的flash.hta。
细心的小伙伴可以看到下面还有一个log keystrokes选项,这个选项是用来记录在克隆网站上受害者输入的信息,比如说我们克隆了一个登陆的网站,那我们就可以把这个功能启用,如果受害者在其中输入了账号密码,像下图一样:
则通过web log日志可以看到受害者在该页面上输入的所有内容(但输入法输入的不可见)
我们继续刚刚的flash下载钓鱼邮件,创建完成之后可以看到site中多了一个克隆网站。
接下来继续设置钓鱼邮件:在attack选项中选择spear phish
因为Cobalt Strike没有在内部整合邮件收发系统,所以我们需要提前准备好一个邮箱(当然你也可以自己搭建一个邮件服务器)。
spear Phish的输入框具体功能如上所示。
点击preview可以预览我们要发送的邮件
发送成功后,会在send email中给出提示:
我们来看看我们收到的钓鱼邮件,如下图所示
点击其中的链接,我们跳转到flash克隆网站。
网站会自动下载flash.hta文件。
但是点击运行还是需要我们手工来操作的,运行之后我们就进入了一个新的Beacon。
文章时间仓促,如果有错误之处万望指正!!!
参考引用:
https://www.zzhsec.com/467.html https://www.cobaltstrike.com/help-spear-phish https://www.youtube.com/watch?v=oByOp-QCL5 http://blog.sina.com.cn/s/blog_90bb1f200101731w.html
本文作者:物联网IOT安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/124891.html