【钓鱼攻防】浅谈CobaltStrike钓鱼手法集锦

我其实不是好胜，我只是不想把这么美好的世界留给那帮傻子。

前言

网络安全技术学习，承认⾃⼰的弱点不是丑事，只有对原理了然于⼼，才能突破更多的限制。

拥有快速学习能力的安全研究员，是不能有短板的，有的只能是大量的标准板和几块长板。

知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

1、应用信息获取

启动CobaltStrike的服务端，本地远程连接客户端。

利用CobaltStrike生成一个带有探针的链接

1、选择Attacks ->Web Drive-by -> System Profiler

2、设置Local Host为CobaltStrike服务器的IP地址，设置重定向的URL为正常网站，最后勾选上Applet.

3、之后会生成连接，将其发送给鱼儿，等鱼儿点击后，就可以获取到鱼儿用户一些有用的信息。

4、点击View -> Application进行查看。

鱼儿点击链接，之后会跳转到之前设计好的正常页面，信息显示如下

2、凭据信息获取

首先需要搭建一个被克隆的网站

效果如下

CobaltStrike克隆

填写被克隆url和模仿的url，并勾选键盘记录

克隆成功

访问该网站

查看源代码

引用的js分析：

处理页面加载事件时，添加对键盘按下事件的监听。当键盘事件被触发时，进入dfqPdaQzXzSSf和dfqPdaQzXzSSf函数处理。随后，调用fqPdaQzXzSSf函数，通过创建<script>标签将键盘码数据传输到远程服务器。最后，在数据传输完成后，延迟 5 秒钟后删除创建的<script>标签。

鱼儿访问我们构造的网站，并且输入信息后，就会被记录下来

3、主机权限获取

打开Host File 克隆一个正常的网站，并且提供一个木马文件

选择木马文件，并且设置网站下载的地址和端口连接的情况

生成携带木马文件的恶意链接

再打开Clone Site联动上述分享的方法：2、凭据信息获取中的克隆模块

克隆目标页面，Attack攻击选择恶意链接页面进行钓鱼。

成功生成带有木马文件的钓鱼站点

意味着对方访问 上述生成的 钓鱼站点页面后，会直接下载attack恶意链接的木马文件，页面正常跳转到设置的正常页面！

鱼儿打开该文件后成功上线CobaltStrike，并成功免杀

网络安全感悟

网络安全是一个长期的过程，因为网络安全没有终点，不管是网络安全企业，还是在网络安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉。

如果你觉得自己是真的热爱网络安全这个行业，坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的是沙子，留下来的才是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，网络安全的路还很长，一生只做一件事，坚持做好一件事！

声明

文笔生疏，措辞浅薄，敬请各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：平凡安全 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN: https://rdyx0.blog.csdn.net/ 公众号： https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect 博客: https://rdyx0.github.io/ 先知社区： https://xz.aliyun.com/u/37846 SecIN: https://www.sec-in.com/author/3097 FreeBuf： https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85