记一次曲折的实战钓鱼

随着攻防对抗的不断升级，防守方在边界的监测和防护力度越来越大，而作为蓝军团队，进行常规的漏洞打点就存在多种难点，包括因目标边界资产范围广、数量大，导致摸排资产、挖掘漏洞成本高、效率低的问题；其次应用漏洞利用时特征明显，攻击行为易审计等导致的攻击成本高，入口易被封堵的问题；当然也存在进入DMZ区后后续仍需要较长攻击链等众多问题。

相比较而言，社工钓鱼攻击作为一种经典攻击手段具备很多特殊的优势而被大量高级攻击组织所使用。同样的，专业的蓝军团队在模拟演练中亦有采用社工钓鱼攻击的必要。笔者在前段时间跟随团队参与了一场授权演练，本篇文章将就其中的一次社工钓鱼打点全过程进行分享。

使用信息搜集套件搜集目标在公网泄露的邮箱地址、web端邮箱入口、电话号码等信息，发现邮箱比较少，但是差不多可以判断出邮箱命名规则，于是用高频姓名字典，探测一波其它邮箱，或者也可以用搜集到的人名配合这个网址https://www.aies.cn/pinyin.htm 制定对应人名字典进行组合，有了邮箱，准备先来一波密码爆破~

此时，同事给我发了一个搜集到的目标邮箱和泄露密码，，，这种好事？赶紧登上去看看

先把此人的联系人导出来，然后搜索是否有密码、vpn啥的敏感信息泄露，这人不是什么技术相关部门，翻了半天也没有发现什么有用的信息，发现这个邮箱经常会发送附件邮件和同事交流工作，于是就想模仿一个近期发送过的邮件，然后把附件替换一下，再重新发给对方，这样诱惑性应该还是很不错的。

翻近期来往邮件的过程中，发现有些人的邮件签名写的很详细：姓名、手机号、部门，于是对信息详细的人做了一波社工信息搜集，然后通过搜集到的泄露老密码，再结合已有密码猜测规则为8位大小字母加数字，生成一波字典对这些邮箱进行爆破，结果还真就爆出一个邮箱密码。

继续对此邮箱进行信息搜集，发现某安全公司安服张某曾给此邮箱开通过vpn，vpn使用邮箱密码+pin码登录，既然账号密码都知道，于是萌生了冒充张某社工pin码的想法：

把wx号换成张某的头像、昵称、备注，然后加目标好友，结果久久没动静。。。

耐不住寂寞，我直接一通电话过去一探虚实：

你好，我是xxx公司安服张某，最近我们在做资产回收……

表明身份后，很快同意了我的好友请求，一顿聊天发现这人的vpn很久没用了，自己都连不上，于是我以“不用了也要卸载为由”给他发了个”卸载软件”。

苦等。。。快下班了都没个消息？再度沟通，发现可能是制作的样本问题，别人运行了但是没反应，

不慌，见他对我如此信任，于是我掏出了向日葵，以”远程帮忙解决问题“的接口，连上目标电脑：

发现有杀软阻拦，命令行powershell上线cs失败，临时免杀来不及，想起之前见到的一个骚操作，直接将上线马后缀改为.db，然后命令行运行，成功上线！

进入目标办公网络后并没有发现有价值的服务器，一是此人非技术人员、二是网络隔离做的不错；信息搜集拿到目标的通讯录，继续针对目标技术部门进行钓鱼，此时演练已经进入尾声，最终选择两个思路进行最后尝试：

1. 利用已有权限的邮箱投递木马

已控邮箱都没有发信技术人员的来往邮件记录，硬着头皮构造了几封邮件投递样本，果不其然，被发现的很快，应该是发给了和目标比较熟的人了，别人直接微信确认，邮箱账号第二天就禁止登录了。

2.  利用当地的疫情热度

后续通过冒充目标内部人员，以”需要紧急统计行程为由“进行点对点钓鱼，发送捆绑木马的excel表格。

上线了几位，但是都为个人机器且飞速下线，冷静思考一下，别人周末专门打开电脑配合调查已经不容易了，大概是填完合上电脑就走了吧~ 

抱着万一有值班的正好运行了的心理，继续扩大攻击面，事实证明没有万一，结果在尝试索要一个人的邮箱密码后，引起了怀疑，果不其然，先是之前上钩的人突然撤回表格，然后微信号被封。。

本文分享了这次实战攻防中较为曲折的钓鱼场景，后面再遇到一些有意思的实战场景还会在公众号分享，感谢阅读！