2024-02-06 分類: 網(wǎng)站建設
一、前言
在攻防演練中大家常用的方法就是釣魚(懂得都懂)。隨著大型攻防演練常態(tài)化的實施,我們認為演練+安全意識培訓相結合的方式是比較理想的。 下文就是釣魚演練中遇到的問題與思考,結合大師傅們的開源軟件整理一篇利用開源軟件進行甲方釣魚演練。演練最終目的是安全意識摸底,公司或者部門級別的安全意識培訓,方便在釣魚演練后有連貫性的學習,加深印象。
注意:本文僅供學習參考研究,切勿利用所學知識做違法亂紀之事,否則后果自負!
二、規(guī)劃演練釣魚的方式選擇
1.憑證類釣魚方式選擇的初衷
· 通過釣魚獲取賬號憑證。我們要哪些登錄權限,釣到的賬號密碼外網(wǎng)是否可用?模擬外部攻擊場景,如果克隆頁面外部不能訪問就容易被業(yè)務挑戰(zhàn)。確保獲取內部登錄頁面信息的合理性,證明通過釣魚得到的賬號密碼可以被進一步利用,證明危害性。 甲方優(yōu)勢是知道資產(chǎn)中的賬號關聯(lián)哪些敏感重要的系統(tǒng)和信息,賬號是否被二次認證導致無法使用等各種內部信息。這里也有部分好處推動相關的賬號平臺增加多因子驗證。
· 甲方的優(yōu)勢就是知道自己公司的習慣和使用細節(jié),體現(xiàn)在,公司用的郵箱系統(tǒng),公司員工的個人電腦配置是什么樣的操作系統(tǒng)如研發(fā)是mac,其他業(yè)務線是windows,具體到系統(tǒng)版本,殺軟等特性。
· 檢測業(yè)務同事是否有意識將釣魚郵件事件通過正確的渠道反饋給安全部門。
2.木馬釣魚方式與憑證類釣魚區(qū)別
· 木馬釣魚的初衷是獲取個人電腦信息和建立據(jù)點橫向拓展,此時就將的演練的初衷變成與辦公網(wǎng)的殺毒軟件、流量審計、防守方的發(fā)現(xiàn)處置能力對抗,非特殊情況不采取該方式演練。
· 木馬釣魚更接近于紅藍對抗場景,對用戶的侵入性較大,不適宜大面積演練使用,控制不好會容易導致業(yè)務的反感。
· 本次演練選擇獲取賬號憑證,批量發(fā)送郵件方式釣魚。
【網(wǎng)絡安全技術學習文檔】私信回復資料領取
三、實施釣魚階段步驟話術與劇本
1. 第一原則禁止損害國家個人利益,內容不可以是政治、疫情、輿情、緋聞相關的釣魚內容。
2. 角色扮演者 ,誰發(fā)起的一項活動,這個角色有一定的合理性。舉例HR、行政、企業(yè)IT,幾乎會和每一名員工有工作交集。
3. 事件合理性,發(fā)起這個郵件的互動一定遵循看似合理性,習慣性。合理性就是我因為看到郵件,所以我要點擊這個鏈接參加活動。這里就要充分利用甲方的優(yōu)勢做信息收集加以轉換。如常見的公司通知是什么樣的?對比外部攻擊就要更關注郵件泄露或者是發(fā)送來往郵件觀察郵件的習慣了。
4. 驅動受害者的動作,利誘或者威逼來使其來執(zhí)行你想要讓其做的事情,如點擊一個頁面,跳轉到登錄頁,輸入賬號密碼。
選擇釣魚頁面的原則
1. 釣什么賬號最有價值,我們要關心的點是得到該賬號我們能做什么?登錄郵箱?合同系統(tǒng)等,這一步驟是能夠說明危害點也是真實攻防過程中的一個攻擊鏈路。 最好的選擇是具有外部sso 內部erp混用的這種登錄頁面作為釣魚克隆頁面的選。
2. 確定克隆頁面以后要考慮,該頁面在釣魚話術上的合理性。 如果釣魚郵件賬密,那么劇本就是點擊修改郵箱賬號密碼,所以克隆的頁面應該是修改郵箱密碼登錄頁面。 如果調用erp賬號密碼,那么就去把劇本到erp通用賬號登錄頁面。 所以我們在選型登錄頁面的時候要考慮話術配合的合理性。
克隆釣魚頁面制作完成
4. 使用寶塔簽https非常方便,這樣能夠解決瀏覽器上的嘆號提示問題。
5. 域名綁定綁定域名目錄非常方便,有時候一個vps需要多個服務的時候就非常方便了。上傳文件的web管理界面也非常方便。
6. 關于克隆頁面服務(寶塔安全)權限最小原則,服務最少原則非必要不開啟服務,0day什么的就不考慮了。 用的時候開啟服務不用的時候關閉。
跳轉的trick
1. 合理的提示+跳轉,Pricking是nginx代理原理,所以他會記錄我們的實際流量中的請求數(shù)據(jù),我們?yōu)榱藗卧斓拈]環(huán),在用戶點擊提交以后,也就是POST 或者 GET數(shù)據(jù)后 ,我們的fake靜態(tài)頁面是不支后端服務的,所以數(shù)據(jù)請求后一定是走error模塊,這里設置一個alert彈框提示"xxx活動結束" 在跳轉到公司的論壇或者wiki(不是Pricking不支持哦)這里利用場景不同。 我們僅僅用Pricking的hook用戶名密碼功能。
2. 前端js提示彈框修改alert的代碼
window.alert = function(msg, callback) { var div = document.createElement("div"); div.innerHTML = "<styletype=\"text/css\">" + ".nbaMask{position: fixed;z-index:1000;top:0;right:0;left:0;bottom:0;background:rgba(0,0,0,0.5); } " + ".nbaMaskTransparent{position: fixed;z-index:1000;top:0;right:0;left:0;bottom:0; } " + ".nbaDialog{position: fixed;z-index:5000;width:80%;max-width:300px;top:50%;left:50%;-webkit-transform:translate(-50%, -50%);transform:translate(-50%, -50%);background-color:fff;text-align: center;border-radius:8px;overflow: hidden;opacity:1;color: white; }" + ".nbaDialog.nbaDialogHd{padding: .2rem.27rem.08rem.27rem; } " + ".nbaDialog.nbaDialogHd.nbaDialogTitle{font-size:17px;font-weight:400; } " + ".nbaDialog.nbaDialogBd{padding:0.27rem;font-size:15px;line-height:1.3;word-wrap: break-word;word-break: break-all;color:000000; } " + ".nbaDialog.nbaDialogFt{position: relative;line-height:48px;font-size:17px;display: -webkit-box;display: -webkit-flex;display: flex; } " + ".nbaDialog.nbaDialogFt:after{content: \" \"; position: absolute; left: 0; top: 0; right: 0; height: 1px; border-top: 1px solid e6e6e6; color: e6e6e6; -webkit-transform-origin: 0 0; transform-origin: 0 0; -webkit-transform: scaleY(0.5); transform: scaleY(0.5); } "+".nbaDialog .nbaDialogBtn { display: block; -webkit-box-flex: 1; -webkit-flex: 1; flex: 1; color: 09BB07; text-decoration: none; -webkit-tap-highlight-color: transparent; position: relative; margin-bottom: 0; } "+".nbaDialog .nbaDialogBtn:after { content: \" \"; position: absolute; left: 0; top: 0; width: 1px; bottom: 0; border-left: 1px solid e6e6e6; color: e6e6e6; -webkit-transform-origin: 0 0; transform-origin: 0 0; -webkit-transform: scaleX(0.5); transform: scaleX(0.5); } "+".nbaDialog a { text-decoration: none; -webkit-tap-highlight-color: transparent; }"+"非常感謝您讀完創(chuàng)新互聯(lián)的這篇文章:"你知道釣魚網(wǎng)站的形成步驟嗎?一次演練帶你了解(增強安全意識)",僅為提供更多信息供用戶參考使用或為學習交流的方便。我們公司提供:網(wǎng)站建設、網(wǎng)站制作、官網(wǎng)建設、SEO優(yōu)化、小程序制作等服務,歡迎聯(lián)系我們提供您的需求。
文章名稱:你知道釣魚網(wǎng)站的形成步驟嗎?一次演練帶你了解(增強安全意識)
本文地址:http://jinyejixie.com/news29/316729.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、App設計、自適應網(wǎng)站、定制開發(fā)、軟件開發(fā)、App開發(fā)
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容