邮件钓鱼-寻找目标开放的邮件服务端口和Web端邮箱入口

邮件钓鱼信息收集：

• 信息刺探

• 信息验证

• 邮箱定位

• 内容伪造

• 文件伪造

1. 通过扫描c段找到入口

   首先要先从MX记录域名找到他的真实ip地址。

   然后针对这个ip地址的c段进行扫描（25、109、110、143、465、995、993端口），一般情况下都很容易找到目标的邮件服务器入口。

2. 通过子域名的方式找到邮件入口

   Sublist3r、TeeMO、LangSrcCurise、挖掘机等。

3. 通过搜索引擎爬取

   Google hack 搜索；

   百度、搜狗、360、bing。

   site:target.com intitle:”Outlook Web App”

   site:target.com intitle:”mail”

   site:target.com intitle:”webmail”

   Shodan、fofa、zoomeye搜索等。

3.2 批量收集目标邮箱

• https://hunter.io/

• http://www.skymem.info/

• https://www.email-format.com/i/search/

• https://github.com/bit4woo/teemo

• https://github.com/laramies/theHarvester

3.3 验证邮箱

在收集邮箱之后，我们要对邮箱进行验证，因为有些邮箱目标企业人员已经放弃或不用（离职，职位调动等）。

1. 通过mailtester.com可以查询邮箱地址是否存在

   https://mailtester.com/testmail.php
   

2. verifyemail这款工具可批量验证邮箱

   https://github.com/Tzeross/verifyemail
   

3. mailtester.py

   https://github.com/angusluk/MailTester
   

   这款工具可以自动组合邮箱地址再根据组合的结果逐个验证。

   脚本的好处在于,它会根据 First / Last Name 中的名字随意拼装组合,然后再对其进行逐个验证。

   当我们在对邮箱用户进行枚举的时候，尽量多找一些字典，如中国人姓名拼音、字母缩写top100，1000，10000，此处我们需要更多的鱼叉，多一个邮箱就多一份成功率。

   当然可以把搜集到疑似网络管理员、运维人员、安全部门的人员提取出来，这些人单独写邮箱或者不发，因为这些人安全意识相对较高，容易打草惊蛇，我们需要对一些非技术员工安全意识薄弱的人下手，挑软柿子捏。

   这里可以配合这个网址https://www.aies.cn/pinyin.htm根据收集到的目标信息制定对应人名字典进行组合。

3.4 邮箱爆破

这种方式的弱口令爆破只适用于目标企业自己的邮件服务器如owa等 像百度腾讯阿里网易的邮箱不优先考虑。

用到的工具medusa、hydra、SNETCracker、APT34组织 owa爆破工具等。

另外邮箱用户名与密码往往还会使用公司简称+2019，2020等社工口令，多一个字典就多一份成功率。

四、邮箱伪造

一般情况下没有SPF可以 直接用swaks伪造。

-t  –to 目标地址 -t   [email protected] –from 来源地址 (发件人)  -f "text"–protocol 设定协议(未测试)--body "http://www.baidu.com"    //引号中的内容即为邮件正文；--header "Subject:hello"   //邮件头信息，subject为邮件标题-ehlo 伪造邮件ehlo头--data ./Desktop/email.txt    //将正常源邮件的内容保存成TXT文件，再作为正常邮件发送；

在线伪造：

http://tool.chacuo.net/mailanonymous

匿名邮件：

http://tool.chacuo.net/mailsend

五、绕过 SPF

绕过 sendgird, mailgun

在有SPF的情况下，就需要绕过SPF,可以使用swaks+smtp2go，需要借助到邮件托管平台来绕过SPF监测。

swaks --to [email protected] --from  [email protected]  --ehlo  xxx  dan--body  “hello ，i'm 007"--server mail.smtp2go.com -p 2525 -au user -ap pass

六、钓鱼域名注册

有了文案，怎么能让邮件看起来真实性更高呢？最简单的就是用超链接,把元素内容改成想要仿冒的域名，在邮箱页面上，就会直接显示元素的内容，我们可以使用一些与目标相似的域名。比如用0代替o，用1代替l，用vv代替w等等，这就需要发挥你的想象来寻找相似的域名：如果找不到这样形似的域名或者这种域名比较贵的情况下，可以尝试一些更骚的操作。。例如使用国际域名这样的域名是怎么注册的呢？在了解怎么注册一个这样的域名前，需要先了解什么是国际域名IDN。

6.1什么是IDN？

是指在域名中包含至少一个特殊语言字母的域名，特殊语言包括中文、法文、拉丁文等。在DNS系统工作中，这种域名会被编码成ASCII字符串，并通过Punycode进行翻译。Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用於DNS系统的编码。

目前，因为操作系统的核心都是英文组成，DNS服务器的解析也是由英文代码交换，所以DNS服务器上并不支持直接的中文域名解析，所有中文域名的解析都需要转成punycode码，然后由DNS解析punycode码。其实目前所说的各种主流浏览器都完美支持IDN域名，浏览器里面会自动对IDN域名进行Punycode转码，而地址栏依旧显示的是原始输入的IDN域名。

看看这两个域名，

www.biṇaṇce.com

www.binance.com

乍一看，这一样的把。可是当把第一个域名复制到浏览器后就成了其他字符了。仔细看看，第一个域名 n 下面有个点 ，哈哈哈，这就是区别，他其实是经过punycode转码后的域名

www.xn--biace-4l1bb.com

在试试

www.ąliyun.com

在这里可以找到相似的，然后编码一下，

punycode在线转换工具：http://tools.jb51.net/punycode/index.php
UniCode编码表：https://www.cnblogs.com/csguo/p/7401874.html

前边仿冒的再像，但如果浏览器上直接出现了不安全警告或者红斜杠，也很容易引起目标的警惕。所以在条件允许的情况下，尽量做戏做全套.

七、钓鱼文件制作

APT小技能

传统宏文件

伪造扩展名 kilerrat 工具

文件捆绑

CHM钓鱼

CVE-2018-2174

Windows 快捷键

构造DDE钓鱼文档

word 中插入外部对象(OLE)方式欺骗

IQY特性钓鱼

PPT 动作按钮特性构造 PPSX钓鱼

RAR解压钓鱼

输入https://ip:3333进行访问。

gophish使用小贴士

需要注意的是在email templates里面不要修改链接，否则将无法跳转到loading page。而且如果想要接收到返回数据的话，loading page至少含有以下代码

在campaign里面有一个url，这个就是接受反馈信息的链接，这个链接最好填成http://域名:端口，这个端口号就是你之前在config文件中的listen_url的端口号，默认为80，但是大多数服务器如果开80端口的话需要备案，可以手动修改为其他端口。URL也可以写成http://ip:端口，但是不建议，这样子写会将ip直接暴露给收件方。

借鉴：伪造邮件钓鱼，要知道的秘密！-技术圈