Cobalt Strike|发送钓鱼邮件

2020-03-09 6,681

Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下如何使用Cobalt Strike发送钓鱼邮件。


使用CS钓鱼需要四个步骤:

1. 创建一个目标列表

2. 创建一个钓鱼模版

3. 选择通过哪个邮件服务器发送邮件

4. 发送邮件

当你想使用钓鱼邮件来获得内网的一个跳板时,你需要注意以下几点:

1. 你发送的邮件是给具体的某个人看的,所以这封“钓鱼”邮件做的必须要跟真的一样,可能还需要加入一些诱惑性的语句来使对方交互。

2. 你必须要使邮件通过反病毒邮件网关

3. 绕过杀毒软件以及应用白名单


如果这些都能满足,那便可以成功执行,此外你还需要担心对方的防火墙以及网络安全监控。


首先我们就来看看目标列表,就是每行一个电子邮箱的txt文档(制表符后可加上收件人名称)如下图这样:

接下来我们需要准备一个钓鱼网站的模版,这个是我从QQ邮箱上扒下来的(最后证实不可用)

那我们再从Google mail上扒下来一个广告好了:

点击show original就可以看到邮件原文,我们把内容复制到original.tamplate模版文件中。

在发送钓鱼邮件之前我们还需要准备一个钓鱼网站,而Cobalt Strike自带了克隆网站的功能,我们就来看看如何使用Cobalt Strike发送一封含有钓鱼网站链接的钓鱼邮件:


还是像以前一样先创建好一个http listener

接下来生成一个HTMl application Attack文件,这样受害者访问我们的钓鱼网站时会自动下载该文件,我们将其伪装成flash文件。

我们起个名字叫flash.hta(其实这里如果选择将文件绑定到真实的flash安装文件会更可信一些)


将这个文件上传到服务器上,Cobalt Strike提供了文件管理的功能,我们可以把本地的文件直接上传到团队服务器上。

我们从site中可以管理团队服务器上所有的开放资源,如下图所示

接下来我们再来克隆一个flash网站:

在攻击选项框中我们选择刚刚生成的flash.hta。

细心的小伙伴可以看到下面还有一个log keystrokes选项,这个选项是用来记录在克隆网站上受害者输入的信息,比如说我们克隆了一个登陆的网站,那我们就可以把这个功能启用,如果受害者在其中输入了账号密码,像下图一样:

则通过web log日志可以看到受害者在该页面上输入的所有内容(但输入法输入的不可见)

我们继续刚刚的flash下载钓鱼邮件,创建完成之后可以看到site中多了一个克隆网站。

接下来继续设置钓鱼邮件:在attack选项中选择spear phish

因为Cobalt Strike没有在内部整合邮件收发系统,所以我们需要提前准备好一个邮箱(当然你也可以自己搭建一个邮件服务器)。


spear Phish的输入框具体功能如上所示。

点击preview可以预览我们要发送的邮件

发送成功后,会在send email中给出提示:

我们来看看我们收到的钓鱼邮件,如下图所示

点击其中的链接,我们跳转到flash克隆网站。

网站会自动下载flash.hta文件。

但是点击运行还是需要我们手工来操作的,运行之后我们就进入了一个新的Beacon。


文章时间仓促,如果有错误之处万望指正!!!


参考引用:

https://www.zzhsec.com/467.html 
https://www.cobaltstrike.com/help-spear-phish 
https://www.youtube.com/watch?v=oByOp-QCL5 
http://blog.sina.com.cn/s/blog_90bb1f200101731w.html


本文作者:物联网IOT安全

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/124891.html

Tags:
评论  (0)
快来写下你的想法吧!

物联网IOT安全

文章数:12 积分: 108

我们是一个专注于物联网IOT安全 固件逆向 近源攻击 硬件破解的公众号,与我们一起学习进步。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号