企业官网建设流程全解析

电商网站建设功能,运用django做网站,网站负责人信息,兴国县城乡规划建设局网站申明#xff1a;本文仅供技术交流#xff0c;请自觉遵守网络安全相关法律法规#xff0c;切勿利用文章内的相关技术从事非法活动#xff0c;如因此产生的一切不良后果与文章作者无关。 文章目录前言1 搭建钓鱼平台2 钓鱼平台使用3 实施钓鱼攻击4 总结前言 在前段时间的一个…申明本文仅供技术交流请自觉遵守网络安全相关法律法规切勿利用文章内的相关技术从事非法活动如因此产生的一切不良后果与文章作者无关。文章目录前言1 搭建钓鱼平台2 钓鱼平台使用3 实施钓鱼攻击4 总结前言在前段时间的一个项目中客户单位授权我司团队给他们做一次红队评估攻击手法不限可以社工钓鱼。我是后面才加进项目来的前面大佬们已经通过技术手段给他们找了很多漏洞出来到后面没啥可打的了不过为了满足客户要求我们决定最后给他来一次钓鱼。于是对于钓鱼毫无经验纯小白的我有了第一次的钓鱼体验虽然手法有些低端稚嫩但第一次的体验还是值得记录一下。1 搭建钓鱼平台我们向公司申请要一台服务器搭建钓鱼平台公司表示支持即刻买了一台vpscentos7的对于平时爱用ubuntu的我突然就有点不太习惯了钓鱼平台用的gophish。项目地址https://github.com/gophish/gophish。搭建过程似乎很简单的样子无脑执行下面的命令就可以wgethttps://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zipunzipgophish-v0.12.1-linux-64bit.zipcdgophish-v0.12.1-linux-64bitvimconfig.json修改配置文件如下{admin_server:{listen_url:0.0.0.0:29037, //修改管理后台地址可以远程访问修改默认端口use_tls:true,cert_path:gophish_admin.crt,key_path:gophish_admin.key,trusted_origins:[]},phish_server:{listen_url:0.0.0.0:443, //钓鱼网站开放的端口use_tls:true,cert_path:example.crt, //没有买域名网站就是ip端口默认的就行key_path:example.key},db_name:sqlite3, //下面这些默认就行db_path:gophish.db,migrations_prefix:db/db_,contact_address:,logging:{filename:/var/log/gophish/gophish.log, //日志记录需要先创建目录和文件否则无法运行。不想记录日志也可以不配level:}}然后执行下面命令chmod x gophish ./gophish此刻嘴角微微上扬然后给我报了一个错node: /lib64/libm.so.6: versionGLIBC_2.27 not found(required bynode)node: /lib64/libc.so.6: versionGLIBC_2.25 not found (required by node) node: /lib64/libc.so.6: version GLIBC_2.28not found(required bynode)node: /lib64/libstdc.so.6: versionCXXABI_1.3.9 not found(required bynode)node: /lib64/libstdc.so.6: versionGLIBCXX_3.4.20 not found (required by node) node: /lib64/libstdc.so.6: version GLIBCXX_3.4.21not found(required bynode)纳尼搜索了一下应该是glibc版本不太够系统安装的版本太低了通过下面的命令查看strings /lib64/libc.so.6 |grep GLIBC_显示出来的是GLIBC_2.2.5和GLIBC_2.17嗯确实是太低了安装一个2.28的吧wgethttp://ftp.gnu.org/gnu/glibc/glibc-2.28.tar.gztarxf glibc-2.28.tar.gzcdglibc-2.28/mkdirbuildcdbuild../configure --prefix/usr --disable-profile --enable-add-ons --with-headers/usr/include --with-binutils/usr/bin嘴角微微上扬然后又给我报错configure: error: *** These critical programs are missing or too old:makebison compiler *** Check the INSTALLfileforrequired versions.那就升级gcc和make吧# 升级GCC(默认为4 升级为8)yuminstall-y centos-release-scl yuminstall-y devtoolset-8-gcc*mv/usr/bin/gcc /usr/bin/gcc-4.8.5ln-s /opt/rh/devtoolset-8/root/bin/gcc /usr/bin/gccmv/usr/bin/g /usr/bin/g-4.8.5ln-s /opt/rh/devtoolset-8/root/bin/g /usr/bin/g# 升级 make(默认为3 升级为4)wgethttp://ftp.gnu.org/gnu/make/make-4.3.tar.gztar-xzvf make-4.3.tar.gzcdmake-4.3/ ./configure --prefix/usr/local/makemakemakeinstallcd/usr/bin/mvmakemake.bakln-sv /usr/local/make/bin/make /usr/bin/make这样应该可以了吧重新更新glibccd/root/glibc-2.28/build../configure --prefix/usr --disable-profile --enable-add-ons --with-headers/usr/include --with-binutils/usr/bin嘴角微微上扬人麻了又报个错configure: error: *** These critical programs are missing or too old: bison *** Check the INSTALLfileforrequired versions.bison -v看下版本是没找到命令那就安装一个yum insatll bison -y这下应该没有问题了吧重新更新glibccd/root/glibc-2.28/build../configure --prefix/usr --disable-profile --enable-add-ons --with-headers/usr/include --with-binutils/usr/bin嘴角微微上扬嗯没报错。最后执行make make install等待了好一会编译安装完成再次执行./gophish嘴角微微上扬嗯就是要这样畅行运行。首次运行会生成一个随机密码访问管理后台使用生成的密码成功登陆。2 钓鱼平台使用关于gophish的使用网上有很多文章我这里就不重复写了给个参考链接https://blog.csdn.net/qq_63980959/article/details/136269087。这里我强调下面两点1.配置发送策略Sending Profiles时建议配置上Email Headers默认的很有可能会被放入垃圾邮件用来发送钓鱼邮件的邮箱同时启用SMTP和POP3。2.编写钓鱼邮件Email Templates时一定要将钓鱼邮件中钓鱼网站的链接用{{.URL}}替换。在编写钓鱼邮件和制作钓鱼页面Landing Pages学会使用下面的模版变量3 实施钓鱼攻击大佬通过之前获取的邮箱和收集的密码成功登入了一个邮箱该邮箱中并没有联系人列表看之前发的邮件也没有什么有价值的信息发的都是一些无关紧要的通知。由于目标单位域名后缀的域名比较贵我们没有买相似域名来搭建邮服钓鱼打算就利用获取到的这个邮箱来钓鱼。起初想的邮件内容是”最近有公司同事电脑中了木马近期发现xx病毒感染让下载安全工具检查“这类话术然后附件发个名称为安全检查.exe类似这样的木马大佬做了免杀投递没人上线。后面才知道。客户公司员工用的mac电脑不过我们也用的mac电脑办公mac电脑基本裸机不用考虑免杀的问题可以做个.app的程序.dmg映像或者.pkg的包把恶意代码放里面。如何制作让目标上线CS这里不赘述了给出两个参考链接https://www.freebuf.com/articles/web/350592.htmlhttps://www.cnblogs.com/N0r4h/p/15743229.html反正在我电脑上按照里面的步骤来是有些问题最终是做了个.dmg。投递之后也没人上线。按理说发了两次邮件钓鱼客户那边应该早发现把邮箱禁用了然而并没有邮箱还能继续登。最后在CTO的建议下转换思路钓OA账号密码吧。那么文案该怎么弄呢我想起之前挂代理登我自己的网易163邮箱的时候网易发来了一个异国登陆提醒邮件内容是长这样gophish在编写钓鱼邮件时支持HTML于是我把这个的HTML代码复制粘帖然后修改最终呈现的效果如图邮件的标题是【安全提醒】OA账号异地登录通知URL链接显示的是客户单位的OA登陆地址但点击进去跳到的是钓鱼链接。收集到的邮箱有二十多个最终收到两个提交数据且均能登陆4 总结1.钓鱼网站是https://ip没有使用相似域名没有证书稍有安全意识的人一看就知道是有问题的且真实的网站当你输入的邮箱名错误时是会直接返回邮箱名错误的但钓鱼网站不会也容易会被有点安全意识的人发现所以我会说手法有些low稚嫩了。2.URL链接在电脑端上点击跳到的是我们制作的钓鱼网站但在手机上点击跳到的是客户单位真实的OA登陆地址。如果显示的是文字如“登陆OA”就不会出现这种情况。另外客户单位用的腾讯企业邮箱这里的文案是网易邮箱的模版如果当时换用腾讯企业邮箱的模版是不是会更好3.这次钓鱼的后续是客户单位的人很快就反应过来跳转的网站是恶意网站禁用了我们获取到的那个邮箱并对收到钓鱼邮件的人进行了访谈了解情况而且还对相关资产进行了排查分析攻击链路。可以说安全做得很好了。4.这次就是体验了钓鱼是一种很直接的方式。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取