Cobalt Strike|发送钓鱼邮件

Hello大家好哇，我是你们可爱的lmn小姐姐，今天我们来研究一下如何使用Cobalt Strike发送钓鱼邮件。

使用CS钓鱼需要四个步骤：

1. 创建一个目标列表

2. 创建一个钓鱼模版

3. 选择通过哪个邮件服务器发送邮件

4. 发送邮件

当你想使用钓鱼邮件来获得内网的一个跳板时，你需要注意以下几点：

1. 你发送的邮件是给具体的某个人看的，所以这封“钓鱼”邮件做的必须要跟真的一样，可能还需要加入一些诱惑性的语句来使对方交互。

2. 你必须要使邮件通过反病毒邮件网关

3. 绕过杀毒软件以及应用白名单

如果这些都能满足，那便可以成功执行，此外你还需要担心对方的防火墙以及网络安全监控。

首先我们就来看看目标列表，就是每行一个电子邮箱的txt文档（制表符后可加上收件人名称）如下图这样：

接下来我们需要准备一个钓鱼网站的模版，这个是我从QQ邮箱上扒下来的（最后证实不可用）

那我们再从Google mail上扒下来一个广告好了：

点击show original就可以看到邮件原文，我们把内容复制到original.tamplate模版文件中。

在发送钓鱼邮件之前我们还需要准备一个钓鱼网站，而Cobalt Strike自带了克隆网站的功能，我们就来看看如何使用Cobalt Strike发送一封含有钓鱼网站链接的钓鱼邮件：

还是像以前一样先创建好一个http listener

接下来生成一个HTMl application Attack文件，这样受害者访问我们的钓鱼网站时会自动下载该文件，我们将其伪装成flash文件。

我们起个名字叫flash.hta（其实这里如果选择将文件绑定到真实的flash安装文件会更可信一些）

将这个文件上传到服务器上，Cobalt Strike提供了文件管理的功能，我们可以把本地的文件直接上传到团队服务器上。

我们从site中可以管理团队服务器上所有的开放资源，如下图所示

接下来我们再来克隆一个flash网站：

在攻击选项框中我们选择刚刚生成的flash.hta。

细心的小伙伴可以看到下面还有一个log keystrokes选项，这个选项是用来记录在克隆网站上受害者输入的信息，比如说我们克隆了一个登陆的网站，那我们就可以把这个功能启用，如果受害者在其中输入了账号密码，像下图一样：

则通过web log日志可以看到受害者在该页面上输入的所有内容（但输入法输入的不可见）

我们继续刚刚的flash下载钓鱼邮件，创建完成之后可以看到site中多了一个克隆网站。

接下来继续设置钓鱼邮件：在attack选项中选择spear phish

因为Cobalt Strike没有在内部整合邮件收发系统，所以我们需要提前准备好一个邮箱（当然你也可以自己搭建一个邮件服务器）。

spear Phish的输入框具体功能如上所示。

点击preview可以预览我们要发送的邮件

发送成功后，会在send email中给出提示：

我们来看看我们收到的钓鱼邮件，如下图所示

点击其中的链接，我们跳转到flash克隆网站。

网站会自动下载flash.hta文件。

但是点击运行还是需要我们手工来操作的，运行之后我们就进入了一个新的Beacon。

文章时间仓促，如果有错误之处万望指正！！！

参考引用：

https://www.zzhsec.com/467.html 
https://www.cobaltstrike.com/help-spear-phish 
https://www.youtube.com/watch?v=oByOp-QCL5 
http://blog.sina.com.cn/s/blog_90bb1f200101731w.html

本文作者：物联网IOT安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/124891.html