背景

项目实战,在测试xx金融行业钓鱼,遇到很多的困难,
第一点:如果发送钓鱼木马,就会被邮件网关拦截直接告警,同时会把木马上传到沙箱直接检测如果沙箱内上线导致此路不通(除非vx等工具发给他让他放进去,然后解决出网问题)。
第二点:员工的安全意识很强(但是是人就可以突破),规定不得桌面云打开压缩包类似的文件。
第三点:主机不出网(后来发现是通过代理上网可以参考:Alioss-stinger上线到cs上)
本案例,主要是钓VPN、云桌面、验证码、opt等,其他附带一些话术内容。

钓鱼-APP、云桌面(OTP、验证码)

已知:对方通过内部的APP通信;手机令牌有时效性,手机验证主动等待
如果想登录他的APP则需要两个条件:账号和密码+手机验证码
image.png
如果想登录到云桌面也是需要两个条件:账号和密码+手机令牌

钓鱼思路

经过上面探测的一系列信息;
尝试1 第一个通过网站链接,那么如果通过电脑打开,如果内部发现钓鱼邮件内网可以直接封了这个网址;就没了
尝试2 第一个通过二维码,大部分都是通过自己的流量通信,这样封不掉。

  1. 微信扫码-引导浏览器打开(防止被举报,很多人不会主动浏览器打开,经常看*你知道的)

image.png

  1. 访问到主页:主要需要账号密码+手机令牌;接收到后立马登录云桌面,

image.png

  1. 钓手机验证码,引导等待,在过程中,里面拿获取到的账号密码迅速登录APP,索取验证码

image.png

  1. 领取成功

image.png

  1. 这一点也是非常重要的一步,因为前面提到,OTP和手机验证码都是有时效性的,那么我们需要通过机器人实时发送到自己常用的通讯软件上;钉钉、飞书、微信image.png

文案1-诱惑

第一个;首先考虑是和”诱惑”有关的内容;礼品相关的,后来想想好像这个诱惑对于这些好像“不够大”

:::info

关于组织开展xx集团”双12”内购会活动通知

各位集团员工:
xx集团为了答谢各位员工为集团所做出的贡献,特联合多家企业在“双12”期间进行福利放送,举办专场福利内购会
一、活动时间:12月12日(周一),10:00—20:00
二、活动地点:
xxxx
三、活动安排:
(一)活动形式
通过扫码进入内购系统进行登记,后线下店铺领取,数量有限。
活动地址:
二维码
(二)活动产品
第一期:珠宝类、电子产品类、食品消费类
(三)活动产品部分折扣段,如图 ::: | 活动厂商 | 商品 | 折扣 | 数量 | | —- | —- | —- | —- | | 华为(HUAWEI) | HUAWEI Mate 50 | 8 | 30 | | | HUAWEI Mate 50 Pro | 8 | 30 | | | HUAWEI 穿戴设备 | 7 | 50 | | Apple | Apple iPhone 14 | 8 | 20 | | | Apple iPhone 14
Pro/Pro Max | 8 | 20 | | 周大福 | 周大福 黄金小雪花 足金黄金项链(工费418计价) 40cm 约3.5g EOF553 | 8 | 20 | | | 周大福 传承系列 顺意福莲 足金黄金吊坠(工费:888计价) F225253 足金 约7.15g | 8 | 20 | | | 周大福 弥勒佛 足金黄金吊坠(工费:158计价) F219799 足金 约7.20g | 8 | 20 | | 茅台酒 | 飞天 53%vol 500ml 贵州茅台酒
| 限购2瓶 | 25 | | | 飞天茅台 43%vol度 500ml酱香型白酒 | 8 | 50 |

文案2-时事热点-诱惑(最终选择)

最终方案选择这个,考虑疫情开放,绝对顶流,各大药店买不到 药品,很多人都缺的,这导致不在发送范围内的人也有很多人扫码。 :::info

关于新冠疫情防控与应对的相关措施通知

各部门同事
虽然疫情感染来势汹汹,但大家不用过于担忧,xx集团应员工需求储备了抗原试剂、布洛芬、连花清瘟胶囊等药物。如果出现疑似感染的不适症状,可以扫码登记领取,第一期货物储备有限,按登记时间顺序领取。
二维码
常态化疫情防控仍需大家的坚持与配合,每个人都是自身健康的第一责任人,在此温馨提醒大家:
科学规范佩戴口罩、勤洗手、常通风、用公筷,保持安全距离;
目前储备感冒/退烧药等。 ::: | 药品清单 | 限领 | 数量 | | —- | —- | —- | | 连花清瘟胶囊 | 5 | 1000 | | 疏风解毒胶囊 | 2 | 500 | | 藿香正气胶囊 | 2 | 500 | | 布洛芬 | 2 | 500 | | 复方甘草片 | 3 | 500 | | 氯雷他定 | 2 | 500 | | 西瓜霜含片 | 5 | 1000 |

突破出网

Alioss-stinger

其他案例

案例1:

隐私为突破口
首先通过官网提需求,让他们主动加我好友,然后看朋友圈,发现朋友圈总是会泄露一些,人名,车牌,账号等一些信息。
他朋友圈的信息
image.png
image.png


让自己的加密的压缩文件,给他合情合理。因为……所以……
image.png
拍照过来看,确认是通过云桌面访问。
image.png

案例2:

首先是通过yuque 搜索到的相关信息,加了微信,然后他们还是需要发送到邮件里面统一处理。
image.png
这个公司名称还是通过视频里面看到的,我还是尝试了发送给他微信上。
image.png
然后我引导她去用电脑打开,后来下班的时候,他说让同事打开,上线了。但是她打开后直接就关机了,我以为被发现了,其实不是。
image.png
然后还是让她用电脑打开了。已经开始吐槽我了。确认她打开了,也上线了,昨天的会话也回来了。
你说我有病毒就有病毒吗?哈哈
image.png
这个人比较有意思,开一会电脑就关机,持续看了好多天,然后有一天发现他登录了云桌面,然后通过cs插件给他弹了钓鱼网站,然后他还输入了。
image.png