Gophish 自动实践指南

zhaorong · 发表于网络安全 2021-6-22 14:14:30


	本帖最后由 zhaorong 于 2021-6-22 15:12 编辑一、概念 1.1.自动邮件指利用伪装的诈骗投资回报将帐户智慧等信息给指定的接收者；或引导引导连接到特制的网页这些网页通常会伪装成和真实网站一样如银行或理财的网页令登录者信以为真输入信用卡或银行卡号码帐号名称及密码等而被取走。 1.2. 社会工程学攻击指的是通过与生命的合法地交流来可能会受到影响某些动作或者是一些被欺骗的信息的方式。这被认为是一种真实的生命以信息、行和模拟计算机。系统的行为。 1.3. 拼音 Gophish 是一个开源网络钓鱼工具包专为企业和渗透测试人员设计。它提供了快速轻松地设置和执行网络钓鱼活动和安全意识培训的能力。Gophish 是一个开源企业网络射击工具包专为和网络测试设计它提供了快速轻松地设置和执行网络自动活动活动和安全意识培训的能力。项目地址：https://github.com/gophish/gophish 用户手册：https://docs.getgophish.com/user-guide/ 1.4. 后缀是Wietse Venema 在IBM 的GPL 协议下使用了开发者的MTA（邮件传输代理）软件。 1.5. 鸽舍是一个开源的 IMAP 和 POP3 邮件服务器，支持 Linux/Unix 系统。 2.环境姓名操作系统知识产权主机名攻击者 CentOS Linux 版本 7.2.1511（核心） 192.168.6.128 mail.dia0yu.com 企业邮件服务器 CentOS Linux 版本 7.2.1511（核心） 3. 场景设定假企业A的域名为diaoyu.com 该企业有张三李四联系人邮箱地址为zhangsan@diaoyu.com、lisi@diaoyu.com。现在模拟：攻击者应该明天一个假的邮箱安全@dia0yu.com 通过邮箱给张三李四发送自拍邮件。 4. 企业A邮件服务器配置 4.1. ip 192.168.6.129 4.2. 设置主机名 hostnamectl set-hostname mail.diaoyu.com 4.3. 关闭防火墙 systemctl 停止 firewalld 4.4. 域名系统 4.4.1. 安装 yum 安装绑定 -y 4.4.2. 修改配置文件 4.4.2.1. /etc/named.conf vi /etc/named.conf 检查语法错误命名检查配置 4.4.2.2. /etc/named.rfc1912.zones vi /etc/named.rfc1912.zones 在文末添加检查语法错误命名检查配置 4.4.2.3. 钓鱼岛.com.zone 创建前进区域数据配置文件 cd /var/named cp -p named.localhost 钓鱼网.com.zone 编辑区域数据配置文件钓鱼网专区 $TTL 1D @ IN SOA @ rname.invalid。( 0; 连续剧一维；刷新 1小时；重试 1W; 到期 3小时); 最低限度 NS mail.diaoyu.com。 MX 10 mail.diaoyu.com。邮寄 A 192.168.6.129 4.4.2.4. 钓鱼网创建校园区域数据配置文件 cd /var/named cp -p named.localhost iaoyu.com.local 编辑区域数据配置文件 vi 钓鱼网.local $TTL 1D @IN SOA iaoyu.com rname.invalid。( 0; 连续剧一维；刷新 1小时；重试 1W; 到期 3小时); 最低限度 NS mail.diaoyu.com。 MX 10 mail.diaoyu.com。 10 PTR mail.diaoyu.com。检查语法错误命名检查配置 4.4.3. 启动dns systemctl 开始命名 4.4.4. 设置启动自启 systemctl 启用命名 4.4.5. 设置dns vi /etc/resolv.conf 4.4.6. 解析验证 nslookup mail.diaoyu.com 4.5. 后缀 4.5.1. 修改配置文件 4.5.1.1. /etc/postfix/main.cf 编辑postfix配置文件（修改6处内容） myhostname = mail.diaoyu.com mydomain = 钓鱼网站 myorigin = $mydomain inet_interfaces = 192.168.6.129, 127.0.0.1 mydestination = $myhostname, $mydomain home_mailbox = Maildir/ 检查语法错误后缀检查 4.5.2. 重启服务 systemctl 重启后缀 4.5.3. 加入启动自启 systemctl 启用后缀 4.5.4. 查看postfix配置后置 -n 4.5.5. 新建用户新建系统用户(系统账号即为邮箱账号) test、diaoyu、zhangsan、lisi 4.6. 鸽舍 4.6.1. 安装 yum install -y dovecot 4.6.2. 修改配置文件 4.6.2.1. /etc/dovecot/dovecot.conf 协议 = imap pop3 lmtp 听= * !include conf.d/10-auth.conf ssl = 否 disable_plaintext_auth = 否 mail_location = maildir:~/Maildir 4.6.3. 启动服务 systemctl 启动 dovecot 4.6.4. 加入启动自启 systemctl 启用 dovecot 4.7. 检查端口监听情况 110，143端口需要监听 4.8. 测试发邮件 telnet 发件测试使用Foxmail（邮箱机）添加邮箱，结果失败：遍机无法Telnet 25端口发现防火墙，关闭防火墙南方机再次Telnet发现已成功 Foxmail成功创建账号收到的邮件信息如下现在使用diaoyu@dia0yu.com,发送邮件给diaoyu@diao.com,提示Undelivered Mail Returned to Sender系统退信在攻击机named.rfc1912.zones增加内容后问题解决。打开eml可以看到以下内容 5.1. ip 192.168.6.128 5.2. 主机名 mail.dia0yu.com 5.3. 域名系统 5.3.1. 修改配置文件 5.3.1.1. /etc/named.rfc1912.zones 最终文件内容为： // 命名.rfc1912.zones: // // 由 Red Hat caching-nameserver 包提供 // // ISC BIND 推荐的区域的命名区域配置 // RFC 1912 第 4.1 节：本地主机 TLD 和地址区域 // 和 http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt // (c)2007 RW 弗兰克斯 // // 参见 /usr/share/doc/bind/sample/ 例如命名配置文件。 // 区域“localhost.localdomain”在{ 类型大师；文件“named.localhost”；允许更新{无; }; }; 区域“本地主机”在{ 类型大师；文件“named.localhost”；允许更新{无; }; }; 区域“1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa”在{ 类型大师；文件“named.loopback”；允许更新{无; }; }; 区域“1.0.0.127.in-addr.arpa”IN { 类型大师；文件“named.loopback”；允许更新{无; }; }; 区域“0.in-addr.arpa” IN { 类型大师；文件“named.empty”；允许更新{无; }; }; 区域“dia0yu.com”在{ 类型大师；文件“dia0yu.com.zone”； }; 区域“6.168.192.in-addr.arpa”{ 类型大师；文件“dia0yu.com.local”； }; 专区“钓鱼网” IN { 类型大师；文件“钓鱼网.com.zone”； }; 5.3.2. /etc/resolv.conf 猫 /etc/resolv.conf 5.3.3. 钓鱼网* cd /var/named/ 猫钓鱼网 $TTL 1D @ IN SOA @ rname.invalid。( 0; 连续剧一维；刷新 1小时；重试 1W; 到期 3小时); 最低限度 NS@ 192.168.6.129 MX 10 邮件邮件 A 192.168.6.129 5.3.4. dia 0 yu.com.local cd /var/named [root@127 命名]# cat dia0yu.com.local $TTL 1D @IN SOA iaoyu.com rname.invalid。( 0; 连续剧一维；刷新 1小时；重试 1W; 到期 3小时); 最低限度 NS mail.dia0yu.com。 MX 10 mail.dia0yu.com。 10 PTR mail.dia0yu.com。 5.3.5. dia 0 yu.com.zone cd /var/named [root@127 命名]# cat dia0yu.com.zone $TTL 1D @ IN SOA @ rname.invalid。( 0; 连续剧一维；刷新 1小时；重试 1W; 到期 3小时); 最低限度 NS mail.dia0yu.com。 MX 10 mail.dia0yu.com。邮寄 A 192.168.6.128 5.4. 互发邮件测试成功使用邮箱dia0yu@dia0yu.com发送邮件给diaoyu@diaoyu.com 5.5. 其他 postfix、dovecot配置与企业A邮件服务器配置类似如Telnet端口不通，请防火墙状态 6. Gophish 6.1. 下载 wget https://github.com/gophish/gophish/releases/download/v 0.11.0/gophish-v0.11.0-linux-64bit.zip 6.2. 解压解压 gophish-v0.11.0-linux-64bit.zip 6.3. 配置文件修改配置文件 [root@mail gophish]# cat config.json { “管理员服务器”：{ "listen_url": "0.0.0.0:3333", “use_tls”：真， "cert_path": "gophish_admin.crt", "key_path": "gophish_admin.key" }, “网络钓鱼服务器”：{ "listen_url": "0.0.0.0:80", “use_tls”：假， "cert_path": "example.crt", “key_path”：“example.key” }, "db_name": "sqlite3", "db_path": "gophish.db", "migrations_prefix": "db/db_", “联系地址”： ””， “记录”：{ “文件名”： ””， “等级”： ”” } } 6.4. 修改文件权限 chmod +x gophish 6.5. 访问访问后台：https://ip:3333 新版gophish，登录密码在终端中表现：首次登录需修改密码成功登录后台 6.6. 用户和组添加用户组 6.7. 发送配置文件配置发件人信息以实际情况填写可以发送测试邮件看是否可以正常发送邮件可以看到张三收到了gophish发来的测试邮件 6.8. 登陆页面设置自动页面此处支持一键导入和人工手写HTML 捕获提交的数据工程数据捕获密码制造密码重定向到：当轻轻点击提交后跳转到的URL 查看电子书页： 6.9. 电子邮件模板配置邮件正文此处可以使用其他邮箱写好邮件导出邮件格式后导入复制eml文件后粘贴到这里这里导入出现乱码改成直接填写内容：这里的完整HTML为： <html> <头> <title></title> </头> <身体> <p>您好：</p> <p>近期检测到您在学术网教学科研集体平台的密码已过期请点击 <a href="{{.URL}}">此链接</a>快速修改密码，谢谢配合！</ > {{.Tracker}}</body> </html> 还可以增加附件： 6.10. 活动创建任务发送自动邮件可设置分批发送邮件（Launch Date）管理页面可以看到成功发出2封邮件。张三成功自动发送邮件张如果三安全意识不足，点击链接打开，可见以下页面然后张三就真的输入了账号及密码点击了login 点完张三发现怎么又让我登录！自然，自动自动跳转完成当张三点击登录后自动跳转到真正的系统：再次刷新Gophish后台，！！！张三中招了！我们可以查看张三提交的数据最后自动完成！我们成功搞了张三的密码！ 7. 利用场景 7.1. 防防畏惧据某安全人员消息他们近期的进攻防恐中队伍有接近70%的注意力是靠社会攻击工程学到流行的时候而正面攻击越来越流行。邮件则是最常用的手段之一。 7.2. 企业安全意识教育培训企业安全团队计划提出这是公司全员安全意识教育培训能够先体验一次这样的自动邮件邮件我想最好的培训材料也让员工体会更深，对安全意识的理解更加深入。 7.3. 红蓝对抗当面对方互联网侧资产束手无时一封电子邮件发过去了说不定可以带来惊喜呢？！有人运行了在线邮件中的附件 CS上线了它不香吗？ 7.4. 客户需求客户需要对公司的人员进行自动邮件测试来检测员工的网络安全意识在真正的为了自动而使系统被攻陷。 8.自动模板 8.1. 密码密码攻击者伪装成管理员轻松点击自动邮件中的链接来修改狡猾的密码！如下： 8.2 帐户解冻攻击者伪装成系统管理员让一路点击自动邮件中的链接解冻帐户。 8.3. 升级补丁攻击者伪装成系统管理员让其轻松点击自动下载邮件中的附件升级补丁。 8.4. 信息收集利用疫情让点击下载邮件中的链接反馈相关信息。 8.5. 节假日礼包攻击者伪装成公司员工让沿途点击汽车邮件中的链接领取节假日大礼包。 8.6. 系统扩容攻击者伪装成系统管理员让点击吸附邮件中的链接升级容（如扩容邮箱容量）。 8.7. 升级改造 8.8. 登录异常 8.9. 其他 9. 循环那遇到这样的自动邮件应该如何解决？以本文的自动邮箱地址我们可以从下面的海滩去识别电子邮箱。发件人的邮箱后缀是否是本公司邮箱后缀如未开启SPF则公司邮箱后缀可以识别漂亮查看链接地址是否为假冒的地址工作中如果收到预警邮件应及时联系安全部门或相关责任部门不要随意点击邮件中的链接下载邮件中的附件运行附件等危险操作！ 10. 免责声明这篇论文技术分享用于收集目的否则产生的一切后果自己承担。

微信扫一扫 分享朋友圈

Gophish 自动实践指南

微信扫一扫分享朋友圈