前言红队越来越难打了，起码对我来说今年的几场红队中社工钓鱼成为了必定要考虑的姿势，现在的目标也不是完全能拿有效RCE的day拿下的，当然比有巨多0day的大佬来说还真比不上。大厂的安全研究部门以及厂商的公益src从day的产出上来说，拎出来太能打了。并且这两年也没有非常核弹级的nday，已经不上前些年拿着shiro一键利用工具梭哈就能解决靶标的年代了。所以起码在目前阶段而言甚至明年或者后年的红队同学们来讲，钓鱼的姿势可能在一定程度上能决定在一场比赛中能拿到什么样的名次。钓鱼选择社工钓鱼的方式基本上考虑几点钓鱼的优势钓鱼的成果最大化的好处是能实现突破边界以及快速的获取办公网、业务网的大致情况以及部分业务系统的web权限，毕竟目前人的习惯上来讲浏览器记住密码这个习惯不可能改掉，毕竟太好使了。为什么选择钓鱼口令复用的问题，举个简单的例子，对于大多数人来讲，不管工商银行还是说中国银行等等，取款密码大部分人的习惯是一致的，QQ密码还是微信密码对于同一个人来说服用的概率也很高。钓鱼方式方法邮件钓鱼：攻击者发送伪装成信任来源（如银行、社交网站、电子商务网站等）的电子邮件给受害者，欺骗受害者点击链接或下载附件，并在其中输入个人敏感信息。目前常用的方式有社交媒体钓鱼：攻击者在社交媒体平台上伪装成真实账户或虚假人物，与受害者进行互动并引导受害者访问恶意站点或提供个人信息。手机钓鱼：攻击者通过短信或电话，欺骗受害者前往恶意站点或者提供个人信息。近源 badUSB投放：攻击者通过近源利用U盘等可移动设备，将病毒或木马程序隐藏在其中，并将其留在可能被特定目标（如公司）发现的地方，以便感染目标计算机系统。 WIFI破解：攻击者利用近源方式目标单位的无线网络进行探测以及尝试破解，当WIFI未和业务网进行隔离时，可直接突破边界进行横向。启动盘近源终端：攻击者通过近源的方法接近目标单位的终端，通过启动盘增加管理员用户，实现突破边界，进行横向攻击。同时可以通过抓取管理员用户的密码横向进行密码喷洒。实例只讲方式方法，不谈免杀，除去近源的方式外，基本上所有的钓鱼和社工方式均需要免杀的参与。暂且不提横向工具的免杀，上线应用的免杀是进行钓鱼前首要需要解决的问题。实战钓鱼一：邮箱钓鱼场景：靶标学校对于学校的钓鱼比较简单，最先考虑的问题应该是学号等。学校的业务系统涉及第二学科、教务等系统。但需考虑的首要问题是，账号怎么获得。方式有两种 1.通过邮箱钓鱼，以QQ邮箱为例，需要注意以下几个方面注册qq邮箱后需要将被绑定的手机号删除掉。开启英文邮箱修改邮箱发送为英文邮箱，最好使用信息搜集的靶标的相关用户的姓名全拼等增加qq邮箱的资料卡或者设置签名这里修改资料卡会更快，同样也可以尝试添加个性签名发送邮件的时候需要附加签名但是需要注意的是，qq账号的头像需要更换你想要表达的头像，比如说目标单位的logo等，文案的话可以选择自己考虑，但是这里开始钓鱼的话分为两类，第一类恶意应用钓鱼，第二类账号密码钓鱼账号密码钓鱼这里导航的钓鱼超链要到位，这种钓鱼考虑到方便目标点击跳转，也方便无复制点击调转实现钓鱼，钓鱼网站的制作的话需要发件人自己测试好，当首次提交后自动跳转正确的网址。整个钓鱼效果如下这里做好数据接收机制，可以考虑使用钉钉的机器人接口，但是需要注意，钉钉机器人的接口一分钟调用次数为20次，存在丢包的情况。需要注意的是现在腾讯的机制是同一个账号给陌生人发邮件，当发送条数一次大于30条左右就会邮件自动进入黑名单，在22年之前，一次能100封左右，这是这两年在实际利用QQ邮箱发送钓鱼邮件的时候发现的。下面是我在近年实战钓鱼的实例这个案例是钓鱼利用通用密码登录员工企业邮箱进行钓鱼邮件批量下发。批量下发文件后上线效果，总共是上线终端98台。但是客户端上线手速一定要快，做好权限维持才是可持续输出的先决条件。实战钓鱼二：系统任务下发获取web应用系统权限，通过系统的文件管理下发邮件下发的图片找不到了，系统文件管理下发的功能基本上综合系统或者sso都有。上线效果也是很能打。 Tips:注意政务的话就不要考虑一级单位了，毕竟现在国产化比例太高了，性价比来说太不划算了。实战钓鱼三：利用系统短信接口这是某个行动中的某个靶标单位，系统内的短信接口很好用，这里的短信接口不单单可以发送给本单位人员，包括到访单位的数十万人员均可发送，因为是YL行业，所以就影响来说不亚于前端时间某JYT发送非法链接。在活动中我们选择目标群体有两类。该单位所有人员社区YY人员（社区为重点）一张网且防护弱发送内容需要考量效果如下这个截图为自己手机号添加进去测试接受消息的效果，最终也是获取了几十台的机器，官方发的消息可信度能不高吗？传统社工传统社工其实更简单，但是成功率比较低。下面的两个案例是根据获取到的信息被VX钓鱼的。突破的专有云。案例二为上次项目中利用微信钓鱼，短平快，上马没用，最后上的向日葵效果属于说是最好的，但是要根据行业而定，比如说这个案例中的为YL行业，大多数的网络状况就是双网卡机器少。小结找过去的报告比较难找图片，有机会下一篇分享不行同业、不同场景的钓鱼姿势，年底咯，没想到HVV项目竟然不同于往年竟然又多起来了。

谈一谈红队中的社工钓鱼姿势(上)

48135

前言

红队越来越难打了，起码对我来说今年的几场红队中社工钓鱼成为了必定要考虑的姿势，现在的目标也不是完全能拿有效RCE的day拿下的，当然比有巨多0day的大佬来说还真比不上。大厂的安全研究部门以及厂商的公益src从day的产出上来说，拎出来太能打了。并且这两年也没有非常核弹级的nday，已经不上前些年拿着shiro一键利用工具梭哈就能解决靶标的年代了。所以起码在目前阶段而言甚至明年或者后年的红队同学们来讲，钓鱼的姿势可能在一定程度上能决定在一场比赛中能拿到什么样的名次。

钓鱼

选择社工钓鱼的方式基本上考虑几点

钓鱼的优势

钓鱼的成果最大化的好处是能实现突破边界以及快速的获取办公网、业务网的大致情况以及部分业务系统的web权限，毕竟目前人的习惯上来讲浏览器记住密码这个习惯不可能改掉，毕竟太好使了。

为什么选择钓鱼

口令复用的问题，举个简单的例子，对于大多数人来讲，不管工商银行还是说中国银行等等，取款密码大部分人的习惯是一致的，QQ密码还是微信密码对于同一个人来说服用的概率也很高。

钓鱼方式方法

邮件钓鱼：攻击者发送伪装成信任来源（如银行、社交网站、电子商务网站等）的电子邮件给受害者，欺骗受害者点击链接或下载附件，并在其中输入个人敏感信息。

目前常用的方式有

社交媒体钓鱼：攻击者在社交媒体平台上伪装成真实账户或虚假人物，与受害者进行互动并引导受害者访问恶意站点或提供个人信息。

手机钓鱼：攻击者通过短信或电话，欺骗受害者前往恶意站点或者提供个人信息。

近源

badUSB投放：攻击者通过近源利用U盘等可移动设备，将病毒或木马程序隐藏在其中，并将其留在可能被特定目标（如公司）发现的地方，以便感染目标计算机系统。

WIFI破解：攻击者利用近源方式目标单位的无线网络进行探测以及尝试破解，当WIFI未和业务网进行隔离时，可直接突破边界进行横向。

启动盘近源终端：攻击者通过近源的方法接近目标单位的终端，通过启动盘增加管理员用户，实现突破边界，进行横向攻击。同时可以通过抓取管理员用户的密码横向进行密码喷洒。

实例

只讲方式方法，不谈免杀，除去近源的方式外，基本上所有的钓鱼和社工方式均需要免杀的参与。暂且不提横向工具的免杀，上线应用的免杀是进行钓鱼前首要需要解决的问题。

实战钓鱼一：邮箱钓鱼

场景：靶标学校

对于学校的钓鱼比较简单，最先考虑的问题应该是学号等。学校的业务系统涉及第二学科、教务等系统。但需考虑的首要问题是，账号怎么获得。方式有两种

1.通过邮箱钓鱼，以QQ邮箱为例，需要注意以下几个方面

注册qq邮箱后需要将被绑定的手机号删除掉。
开启英文邮箱

修改邮箱发送为英文邮箱，最好使用信息搜集的靶标的相关用户的姓名全拼等

增加qq邮箱的资料卡或者设置签名

这里修改资料卡会更快，同样也可以尝试添加个性签名

发送邮件的时候需要附加签名

但是需要注意的是，qq账号的头像需要更换你想要表达的头像，比如说目标单位的logo等，文案的话可以选择自己考虑，但是这里开始钓鱼的话分为两类，第一类恶意应用钓鱼，第二类账号密码钓鱼

账号密码钓鱼

这里导航的钓鱼超链要到位，这种钓鱼考虑到方便目标点击跳转，也方便无复制点击调转实现钓鱼，钓鱼网站的制作的话需要发件人自己测试好，当首次提交后自动跳转正确的网址。

整个钓鱼效果如下

这里做好数据接收机制，可以考虑使用钉钉的机器人接口，但是需要注意，钉钉机器人的接口一分钟调用次数为20次，存在丢包的情况。

需要注意的是现在腾讯的机制是同一个账号给陌生人发邮件，当发送条数一次大于30条左右就会邮件自动进入黑名单，在22年之前，一次能100封左右，这是这两年在实际利用QQ邮箱发送钓鱼邮件的时候发现的。

下面是我在近年实战钓鱼的实例

这个案例是钓鱼利用通用密码登录员工企业邮箱进行钓鱼邮件批量下发。

批量下发文件后上线效果，总共是上线终端98台。

但是客户端上线手速一定要快，做好权限维持才是可持续输出的先决条件。

实战钓鱼二：系统任务下发

获取web应用系统权限，通过系统的文件管理下发邮件

下发的图片找不到了，系统文件管理下发的功能基本上综合系统或者sso都有。

上线效果也是很能打。

Tips:注意政务的话就不要考虑一级单位了，毕竟现在国产化比例太高了，性价比来说太不划算了。

实战钓鱼三：利用系统短信接口

这是某个行动中的某个靶标单位，系统内的短信接口很好用，这里的短信接口不单单可以发送给本单位人员，包括到访单位的数十万人员均可发送，因为是YL行业，所以就影响来说不亚于前端时间某JYT发送非法链接。

在活动中我们选择目标群体有两类。

该单位所有人员
社区YY人员（社区为重点）一张网且防护弱
发送内容需要考量

效果如下

这个截图为自己手机号添加进去测试接受消息的效果，最终也是获取了几十台的机器，官方发的消息可信度能不高吗？

传统社工

传统社工其实更简单，但是成功率比较低。下面的两个案例是根据获取到的信息被VX钓鱼的。

突破的专有云。

案例二为上次项目中利用微信钓鱼，短平快，上马没用，最后上的向日葵

效果属于说是最好的，但是要根据行业而定，比如说这个案例中的为YL行业，大多数的网络状况就是双网卡机器少。

小结

找过去的报告比较难找图片，有机会下一篇分享不行同业、不同场景的钓鱼姿势，年底咯，没想到HVV项目竟然不同于往年竟然又多起来了。