*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载
PS:本文仅用于技术讨论,严禁用于非法用途
钓鱼作为从远古时期出现的手段,到现在的风靡在各种成功的攻击案例中几乎成为一个高级hacker必不可少的技能。
高超的钓鱼技巧取决于精心设计的社会工程学话术套路外,也必须配备一个优秀的钓鱼系统才能保证攻击的高效。一次成功的钓鱼往往可以打开一个天衣无缝目标的突破口,从而深入地进行进一步渗透,以期达到持久化埋下伏笔……
在APT的世界中,0day攻击似乎号称核武器,但熟练的施行者往往知道0day的力量并不是那么无坚不摧,也需要层层的信息刺探才能在关键环境让一个漏洞利用发挥它应有的攻击效果,而在这当中,针对人的攻击往往无往而不利,最高超的攻击人员往往在永恒的漏洞上面攻击实践会比其它花费更多的时间。
这里指的永恒的漏洞可以意味人性的缺陷(心理战)、钓鱼、恶劣的习惯(弱口令/密码通用),永远存在的暴力破解、自身网络行为的痕迹、欲望想获得的东西、平日的日常生活习惯、最喜欢的app应用等等等,问题本身的攻击往往让人捉摸不透也难以做到全面防御,当然不同的人群不同的职业也有不同的手段。
举个例子,黑客对漏洞武器的着迷往往可以利用,我对目标发布一个号称最新的exploit利用pack包,里面捆绑隐藏好我的后门(针对麻瓜不多说,但对专业的从业者、hacker、情报人员等等一定要做到免杀性!),他或许谨慎的会在虚拟机、沙箱、还原系统打开,但是如果我在这个伪造程序中构造的更复杂一些,让他花费十分钟看我的说明,再花费十分钟做实验,最后当他发现实验失败以后我也已经把我的工作做完了。尤甚几年前我的一个idea,没有人会在意jar、py的威胁,我经常把shellcode捆绑到一些原装应用上,对方老是无往不利的帮我打开他们……
举个简单的例子,如果我号称发布最新的破解版burp(其实只是在crack论坛下载了一个),然后我将jar木马添加到burp中(这个利用程序某日会发在微博),你可以想象能获得多少的“黑客资源”,因为几乎所有强或弱的黑客们,在测试web的漏洞都会用到burp而且离不开他。或者我将一些利用程序的代码添加在python中,人们往往一个git clone下载看也不看就开始尝试这个小脚本的功能,更有甚者经常在本机的gui平台上运行他们,你可以想象我收获了多少有用的东西,你认为杀毒防护软件可以发现他们吗?NO,当然不行,谁会去care一个jar和py呢?
当然这都是很久之前的经历了,现在我做的技术分享都是安全向的,我想通过反向思维来变得更安全,我们可以从中养成一些好习惯。但是世界就是这么有趣,或许我的电脑也被监视着,但我也不担心,因为没有什么不能被看到的东西,我英俊的脸庞也被胶带挡在了前置镜头前面,更重要的东西我都放在移动硬盘上并且设置好了加密。
好了言归正传……
今天的正餐《99%的人都不知道的秘密:世上竟有如此酷炫的钓鱼系统!》,我相信你有了它肯定具备了成为高威胁人员的基础条件了,万丈高楼平地起,希望热爱技术不干坏事的你我他/她都越来越强。
先来放几张预览图。
Facebook:
Snapchat:
Twitter:
Github:
PayPal:
Steam:
它能做到几乎33个项目的钓鱼瞬间完成:
[01] Instagram [17] IGFollowers [33] Custom [02] Facebook [18] eBay ▒▒▒▒▒▒▒▒▄▄▄▄▄▄▄▄▒▒▒▒▒▒ [03] Snapchat [19] Pinterest ▒▒█▒▒▒▄██████████▄▒▒▒▒ [04] Twitter [20] CryptoCurrency ▒█▐▒▒▒████████████▒▒▒▒ [05] Github [21] Verizon ▒▌▐▒▒██▄▀██████▀▄██▒▒▒ [06] Google [22] DropBox ▐┼▐▒▒██▄▄▄▄██▄▄▄▄██▒▒▒ [07] Spotify [23] Adobe ID ▐┼▐▒▒██████████████▒▒▒ [08] Netflix [24] Shopify ▐▄▐████─▀▐▐▀█─█─▌▐██▄▒ [09] PayPal [25] Messenger ▒▒█████──────────▐███▌ [10] Origin [26] GitLab ▒▒█▀▀██▄█─▄───▐─▄███▀▒ [11] Steam [27] Twitch ▒▒█▒▒███████▄██████▒▒▒ [12] Yahoo [28] MySpace ▒▒▒▒▒██████████████▒▒▒ [13] Linkedin [29] Badoo ▒▒▒▒▒█████████▐▌██▌▒▒▒ [14] Protonmail [30] VK ▒▒▒▒▒▐▀▐▒▌▀█▀▒▐▒█▒▒▒▒▒ [15] WordPress [31] Yandex ▒▒▒▒▒▒▒▒▒▒▒▐▒▒▒▒▌▒▒▒▒▒ [16] Microsoft [32] devianART
重点是它可以自定义,在对企业内网渗透或者特定人员钓鱼攻击中不要太好用。
我随便构造一个:
OK,如果你觉得它太粗糙,那我们可以在sites包里面修改源代码,非常的简单,有些些php和html基础就OK(实在不会内置的绝对够用)。
然后就可以创造一个自己需要的完全版克隆页面:
git clone <a href="https://github.com/flagellantX/blackeye">https://github.com/flagellantX/blackeye </a>./black.sh
如何攻击外网(Forwarding)?
买空间注册fake域名(可能不久以后会讲如何获得一些匿名的服务器空间),简单的想要调戏一下朋友无外乎ngrok转发一下,或者黑一台海外服务器,用后即毁,要成为一个拔迪奥无情的人才能足够的stay in anon。
这次比较水,只是这个钓鱼构架有点好迫不及待的推出来了,字数不够 就干货来凑了。
最后的最后,我一直不会忘记新人们的boy/gril,安全行业的发展和未来一定是他们的,所以,如果你是个noob想成为hacker,漫天的找教程找书,甚至被fake被骗,求爷爷告奶奶的问大牛却换来叫你去看厚厚的一卷TCP/IP协议或者一些你根本用不上看不懂的东西,可以点我修仙,我相信肯定可以帮到你,入门,嗯。
《 震惊!仅仅6kb木马绕过360全家桶和电脑管家 》
《 细思极恐!黑客通过一个短信就可以定位到你 》
《 可怕!一招1kb后门持久控制系统并绕过所有安全软件 》