Cobalt Strike’s send_mail

鱼叉式网络钓鱼

  本章介绍邮件钓鱼的全过程,包括SMTP服务器的搭建,到邮件钓鱼的发生。所有需要用到的软件,都存放于同级目录下附件文件夹中。考虑到条件的限制和攻击的重点,这里使用内部简单网络结构进行实验。

  • 实验环境:

    • Cobalt Strike Server & SMTP server — 192.168.222.134
    • 被渗透主机 — 192.168.222.140
  • 实验步骤一:SMTP的搭建

    1. 安装Foxmail Server

    2. 修改该安装目录Bin文件夹下hMailServer.ini文件,”[GUILanguages]”字段下添加”chinese”;接着将附录中的chinese.ini拷贝至Languages文件夹下。

    3. 重启电脑,打开Foxmail,设置选项中修改语言为chinese。

    4. 在域名选项中添加域名,这里我创建了Cobalt Strike.com

      image-20210309135144869

    5. 创建一个邮件地址:attack@CobaltStrike.com

      image-20210309135154665

    6. 配置服务器地址

      image-20210309135204621

    7. 为例实验的简单性,这里我取消了SMTP的认证,这里是翻译的问题。

      image-20210309135216714

  • 实验步骤二:邮件测试,客户端上安装Foxmail

    image-20210309135244536
  • 实验步骤三:CobaltStrike Server中创建邮件发送的目标。

    格式[email_address tab username]

image-20210309135338651

  • 实验步骤四:CobaltStrike Server中创建邮件模板,可以找正常的邮件源码复制。我这里是拷贝了一份huawei的邮件源码。

    image-20210309135526688
  • 实验步骤五:创建一个后门以及一个钓鱼URL,这个步骤参考之前的相关文档

  • 实验步骤六:发起钓鱼邮件攻击

    image-20210309135620260

    • Targets:邮件将要发给的目标

    • Template:邮件的模板

    • Attachment:邮件的附件

    • Embed URL:被替换的钓鱼连接

    • Mail Server:邮件的服务器的地址,点击右侧的…可以做详细设置,比如认证。

    • Beounce To:设置为退回邮件的应该发往的电子邮件地址

    • Preview:点击该按钮可以查看效果

      image-20210309135710431
    • Send:点击send发送邮件

      image-20210309135759748

  • 用户收到邮件: 这里可能是格式的问题,浏览的效果并不是很好,因为是QQ邮箱的格式。

    • 用户右键打开我们的后门程序,就会直接反弹shell到我们的CS服务器上
    image-20210309135823086