邮件钓鱼环境搭建
在攻防演练或者客户的安全演练中,邮件钓鱼攻击运用的越来越多,因此本文是关于邮件钓鱼环境的搭建方面的记录。
SPF协议
SPF全称为 Sender Policy Framework,译为发送方策略框架,是一种以IP地址认证电子邮件发件人身份的技术。邮件接收方首先会去检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件并进行退回。
查询邮件服务器是否开启SPF:
1 2 3 4 5
| windows: nslookup -type=txt qq.com
linux: dig -t txt qq.com
|
spf可以配置四种规则:
1 2 3 4
| "+" Pass(放行) 如果没有明确指定限定词,则为默认值 "-" Fail(硬拒绝) 直接拒绝来自未经授权主机的邮件 "~" Soft Fail(软拒绝) 邮件可被接受,也可被标记为垃圾邮件 "?" Neutral(中立) 不考虑邮件是否被接受
|
SPF绕过
通过swaks加smtp2go中转服务器可以绕过icloud.com ,aliyun.com,gmail.com,163.com等邮箱的SPF进行邮件伪造。
1
| swaks --to xxx@163.com --from admin@gov.com --ehlo xxx dan--body "hello"--server mail.smtp2go.com -p 2525 -au user -ap pass
|
目标邮箱收集
批量收集目标邮箱
https://hunter.io/
http://www.skymem.info/
https://www.email-format.com/i/search/
https://github.com/bit4woo/teemo
https://github.com/laramies/theHarvester
批量验证邮箱
https://mailtester.com/
https://github.com/Tzeross/verifyemail
https://github.com/angusluk/MailTester
伪造发件人邮箱
利用swaks发送邮件
1 2 3 4 5 6 7 8 9 10 11 12
| 测试邮箱连通性可以成功发送。 swaks -to xxx@qq.com 可以添加的参数 –to 目标地址 -t test@test.com –from test@qq.com //发件人邮箱 -f "text<text@text.com>" –protocol //设定协议(未测试) --body "http://www.baidu.com" //引号中的内容即为邮件正文 --header "Subject:hello" //邮件头信息,subject为邮件标题 -ehlo qq.com //伪造邮件ehlo头,即是发件人邮箱的域名。提供身份认证 --data email.txt //将正常源邮件的内容保存成TXT文件,再作为正常邮件发送 --attach qq.txt //附件
|
1
| swaks --to 9143f2a901@emailboxi.live --from "admin@qq.com" --ehlo qq.com --header "Subject:标题" --body "123456"
|
利用邮件伪造工具
在线匿名邮件: http://tool.chacuo.net/mailsend
在线邮件伪造:https://emkei.cz/
github邮件伪造工具:https://github.com/Macr0phag3/email_hack
临时邮箱网站:
https://www.temporary-email.org/zh
http://24mail.chacuo.net/
https://www.mohmal.com/zh/inbox
https://www.linshiyouxiang.net/
利用EwoMail搭建邮箱服务器
github项目地址:https://github.com/gyxuehu/EwoMail
推荐使用docke搭建ewomail
docker安装就不赘述了,网上一大堆。
环境说明:
一台VPS linux服务器
一个新域名
docker搭建:
1 2
| docker search ewomail docker pull bestwu/ewomail
|
mail.xxx.com替换成自己的域名。
如果端口被占用则换到其他端口。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
| docker run -d -h mail.xxx.com --restart=always \ -p 25:25 \ -p 109:109 \ -p 110:110 \ -p 143:143 \ -p 465:465 \ -p 587:587 \ -p 993:993 \ -p 995:995 \ -p 80:80 \ -p 8080:8080 \ -v `pwd`/mysql/:/ewomail/mysql/data/ \ -v `pwd`/vmail/:/ewomail/mail/ \ -v `pwd`/ssl/certs/:/etc/ssl/certs/ \ -v `pwd`/ssl/private/:/etc/ssl/private/ \ -v `pwd`/rainloop:/ewomail/www/rainloop/data \ -v `pwd`/ssl/dkim/:/ewomail/dkim/ \ --name ewomail bestwu/ewomail
|
搭建成功,访问邮箱后台,修改默认密码。
1 2 3
| 邮箱管理后台http://xx.xx.xx.xx:8080 默认用户: admin 默认密码: ewomail123
|
创建新邮箱,登录邮箱。
1
| 邮箱登录页面:http://xx.xx.xx.xx:80
|
DKIM设置:
linux命令行执行获取dkim key
1
| docker exec ewomail amavisd showkeys
|
使用http://www.ewomail.com/list-20.html 进行DKIM整理。
等待10分钟后测试是否生效,显示pass则生效。
1 2
| docker exec ewomail amavisd testkeys TESTING#1: dkim._domainkey.xxxx.com => pass
|
DNS配置:
如图进行DNS配置,spf修改127.0.0.1设置为搭建邮箱VPS公网IP,需等待一段时间生效。
可能遇到的问题
用户收不到邮件问题处理:
1 2 3 4 5 6 7 8
| 进入容器 docker exec -it ewomail /bin/bash
注释/etc/postfix/main.cf中的 content_filter = smtp-amavis:[127.0.0.1]:10024
重启容器生效 docker restart ewomail
|
添加的账号登录时,提示”域不允许”:
1 2 3 4 5 6 7 8
| 进入容器 docker exec -it ewomail /bin/bash
在/etc/hosts这个文件里加入以下内容,xxx为自己域名。 127.0.0.1 mail.xxx.com xxx.com smtp.xxx.com imap.xxx.com
重启容器生效 docker restart ewomail
|
其他问题请查看官方文档:
http://doc.ewomail.com/docs/ewomail/jianjie
利用邮件钓鱼平台gophish
推荐使用docker安装gophish
docker搭建:
1 2 3
| docker pull gophish/gophish docker run -it -d --rm --name gophish -p 3333:3333 -p 8003:80 -p 8004:8080 gophish/gophish docker logs gophish (查看安装日志中的登录密码)
|
访问系统后台,并修改密码。
https://xx.xx.xx.xx:3333/login
默认用户: admin
默认密码: 日志中的登录密码
需要添加钓鱼用户组、设置钓鱼邮件的模板、钓鱼页面、以及邮件发送的配置,最后新建钓鱼事件进行邮件钓鱼。
钓鱼页面需要以form表单的形式的单一html页面。
form表单要以以下的形式。
input、textare等标签需要name属性。
1 2 3 4 5
| <form method="post"> ······ ······ <button type="submit">提交</button> </form>
|
钓鱼邮件主题
重置密码
攻击者伪装成管理员,让受害者点击钓鱼邮件中的链接来修改各种各样的密码!如下:
1 2 3 4 5
| xxx,您好 我是xx部门的信息,我的oa系统账号密码忘记了,麻烦帮我重置一下我的oa帐号密码,然后将新的账号密码发到这个邮箱,十分感谢!
大家好: 近期由于我们公司的邮箱密码泄露,为防止不法分子利用,影响到我们的数据安全,各位员工的密码均需要及时更新修改,在收到邮件的第一时间,请登录如下平台,立即修改自己邮箱的账号密码。
|
账号解冻
攻击者伪装成系统管理员,让受害者点击钓鱼邮件中的链接解冻账号。
1 2
| 您好! 上网行为管理近几日发现您的账号存在异常行为,为了防止您的账号被不法分子盗取,我们暂时将您的账号进行了冻结,如果不是您本人的操作的话,可以点击下面的链接进行解冻。
|
升级补丁
攻击者伪装成系统管理员,让受害者点击钓鱼邮件中的附件 升级补丁。
1 2
| 各位同事,大家好! 近日微软发布了本月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号为CVE-2019-0708,现需要所有员工的电脑都打上补丁,漏洞补丁直接下载附件即可
|
节假日礼包
1 2
| 各位同事好: 春节临近,旧的一年即将过去,崭新的一年即将到来,我们将为各位员工准备春节大礼包,现在需要填写一下家庭住址等基本信息
|
工资单
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
| 邮件主题:关于您的工资单更新
发件人:Jane Smith hr@acme.com
尊敬的员工:
我是ACME公司人力资源部门的成员。我们收到了关于您的工资单的报告,显示您的工资单存在一些错误。为了确保您的工资结算正确,我们需要您立即更新您的工资单信息。
请点击以下链接更新您的工资单信息:[链接]
请勿忽略此重要消息,否则您的工资结算可能会出现错误。如果您有任何问题,请随时联系我们。
谢谢您的合作!
祝好,
Jane Smith ACME人力资源部门
|
工资涨薪
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| 邮件主题:秘密工资涨薪通知
发件人:Jane Smith hr@company.com
尊敬的员工:
我是公司人力资源部的成员。很高兴告诉您,因您过去一年的出色表现,公司决定将您的工资提高。
请勿向任何其他员工透露此信息,因为这是一项秘密涨薪计划。如果您有任何问题,请私信我们。
祝好,
Jane Smith 公司人力资源部
|
会议材料
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| 邮件主题:会议资料附件
发件人:Tom Johnson tom.johnson@meeting.com
尊敬的员工:
我是一名会议组织者。我想告诉您,我们已经准备好了一些重要的会议资料附件,以便您能够更好地准备会议。
请点击此链接下载附件: [伪造的链接]
如果您有任何问题,请随时与我联系。
谢谢,
Tom Johnson 会议组织者
|
账号异常
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
| 邮件主题:系统账号异常通知
发件人:admin admin@system.com
尊敬的用户:
我是系统管理员。很抱歉地通知您,我们发现了您的系统账号出现异常。为了保护您的账号安全,我们需要您提供账号验证。
请点击此链接进行验证: [伪造的链接]
如果您有任何问题,请随时与我联系。
谢谢,
管理员
|
木马病毒
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
| 邮件主题:重要通知:检测到电脑病毒
发件人:admin admin@system.com
尊敬的用户:
我是系统管理员。很抱歉地通知您,我们检测到您的电脑有病毒。为了确保您的电脑安全,我们需要远程接入您的电脑以清除病毒。
请点击此链接以允许我们进行远程接入: [伪造的链接]
如果您有任何问题,请随时与我联系。
谢谢,
管理员
|
放假通知
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| 邮件主题:关于公司放假通知
发件人:经理 manager@company.com
尊敬的员工:
我是公司的经理,非常高兴地宣布公司将在今年的暑假期间放假。具体安排如下:
从7月1日至7月7日放假7天。
请您确认您的放假安排并下载放假通知的附件。
请点击此链接下载放假通知: [伪造的链接]
如果您有任何问题,请随时与我联系。
谢谢,
经理
|
单位通告
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
| 主题:单位通告
尊敬的员工:
大家好!
本单位希望通过这封邮件向大家发布一些重要的通知。
请您注意:
本单位的办公时间将从明天起更改为从9点到17点。
为了提高工作效率,本单位将引入一项新的员工评估制度。每个员工都将按照工作表现被评估。
本单位将在下周举办一次新员工培训。如果您有兴趣参加,请与HR部门联系。
本单位将在未来几个月内引入一项全新的电子邮件系统。请大家准备好。
谢谢!
此致
敬礼
单位管理层
|
参考链接:
https://blog.csdn.net/shandongjiushen/article/details/128138403
https://blog.csdn.net/tomyyyyyy/article/details/121760139
https://blog.csdn.net/qq_59350385/article/details/126699747