Translated ['generic-methodologies-and-resources/phishing-methodology/RE

This commit is contained in:
Translator 2024-03-26 11:43:47 +00:00
parent dc9d0aa783
commit 64aaea80cf

View file

@ -6,47 +6,47 @@
Inne sposoby wsparcia HackTricks: Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)! * Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com) * Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family) * Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos. * **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details> </details>
## Metodologia ## Metodologia
1. Rozpoznaj ofiarę 1. Zbieranie informacji o ofierze
1. Wybierz **domenę ofiary**. 1. Wybierz **domenę ofiary**.
2. Przeprowadź podstawową enumerację sieci web, **szukając portali logowania** używanych przez ofiarę i **zdecyduj**, który będziesz **udawać**. 2. Przeprowadź podstawową enumerację sieci w poszukiwaniu **portali logowania** używanych przez ofiarę i **zdecyduj**, który będziesz **podrabiał**.
3. Wykorzystaj **OSINT**, aby **znaleźć adresy e-mail**. 3. Wykorzystaj **OSINT**, aby **znaleźć adresy e-mail**.
2. Przygotuj środowisko 2. Przygotowanie środowiska
1. **Kup domenę**, którą będziesz używać do oceny phishingowej 1. **Kup domenę**, którą będziesz używać do oceny phishingowej
2. **Skonfiguruj usługę poczty e-mail** związane z rekordami (SPF, DMARC, DKIM, rDNS) 2. **Skonfiguruj usługę e-mail** związane z rekordami (SPF, DMARC, DKIM, rDNS)
3. Skonfiguruj VPS z **gophish** 3. Skonfiguruj VPS z **gophish**
3. Przygotuj kampanię 3. Przygotowanie kampanii
1. Przygotuj **szablon e-maila** 1. Przygotuj **szablon e-maila**
2. Przygotuj **stronę internetową**, aby ukraść dane uwierzytelniające 2. Przygotuj **stronę internetową** do kradzieży danych uwierzytelniających
4. Uruchom kampanię! 4. Uruchom kampanię!
## Generowanie podobnych nazw domen lub zakup zaufanej domeny ## Generowanie podobnych nazw domen lub zakup zaufanej domeny
### Techniki wariacji nazw domen ### Techniki Wariacji Nazw Domen
* **Słowo kluczowe**: Nazwa domeny **zawiera** ważne **słowo kluczowe** oryginalnej domeny (np. zelster.com-management.com). * **Słowo kluczowe**: Nazwa domeny **zawiera ważne** **słowo kluczowe** oryginalnej domeny (np. zelster.com-management.com).
* **Poddomena z myślnikiem**: Zmi**kropkę na myślnik** w poddomenie (np. www-zelster.com). * **Poddomena z myślnikiem**: Zmiana **kropki na myślnik** poddomeny (np. www-zelster.com).
* **Nowe TLD**: Ta sama domena, ale z **nowym TLD** (np. zelster.org) * **Nowe TLD**: Ta sama domena z użyciem **nowego TLD** (np. zelster.org)
* **Homoglify**: Zastępuje literę w nazwie domeny **literami, które wyglądają podobnie** (np. zelfser.com). * **Homoglify**: Zastępuje literę w nazwie domeny literami, które **wyglądają podobnie** (np. zelfser.com).
* **Transpozycja**: Zamienia miejscami dwie litery w nazwie domeny (np. zelster.com). * **Transpozycja:** Zamienia **miejscami dwie litery** w nazwie domeny (np. zelsetr.com).
* **Liczba pojedyncza/liczba mnoga**: Dodaje lub usuwa "s" na końcu nazwy domeny (np. zeltsers.com). * **Forma pojedyncza/liczba mnoga**: Dodaje lub usuwa „s” na końcu nazwy domeny (np. zeltsers.com).
* **Pominięcie**: Usuwa jedną literę z nazwy domeny (np. zelser.com). * **Pominięcie**: Usuwa jedną z liter z nazwy domeny (np. zelser.com).
* **Powtórzenie**: Powtarza jedną literę w nazwie domeny (np. zeltsser.com). * **Powtórzenie**: Powtarza jedną z liter w nazwie domeny (np. zeltsser.com).
* **Zastąpienie**: Podobne do homoglify, ale mniej skryte. Zastępuje jedną literę w nazwie domeny, być może literą w pobliżu oryginalnej litery na klawiaturze (np. zektser.com). * **Zastąpienie**: Podobne do homoglify, ale mniej dyskretne. Zastępuje jedną z liter w nazwie domeny, być może literą w sąsiedztwie oryginalnej litery na klawiaturze (np. zektser.com).
* **Poddomena**: Wprowadza **kropkę** wewnątrz nazwy domeny (np. ze.lster.com). * **Poddomenowane**: Wprowadza **kropkę** w nazwie domeny (np. ze.lster.com).
* **Wstawienie**: Wstawia literę do nazwy domeny (np. zerltser.com). * **Wstawienie**: Wstawia literę do nazwy domeny (np. zerltser.com).
* **Brak kropki**: Dołącz TLD do nazwy domeny. (np. zelstercom.com) * **Brak kropki**: Dołącza TLD do nazwy domeny. (np. zelstercom.com)
**Automatyczne narzędzia** **Automatyczne Narzędzia**
* [**dnstwist**](https://github.com/elceef/dnstwist) * [**dnstwist**](https://github.com/elceef/dnstwist)
* [**urlcrazy**](https://github.com/urbanadventurer/urlcrazy) * [**urlcrazy**](https://github.com/urbanadventurer/urlcrazy)
@ -59,25 +59,25 @@ Inne sposoby wsparcia HackTricks:
### Bitflipping ### Bitflipping
Istnieje **możliwość, że jeden z niektórych bitów przechowywanych lub przesyłanych może automatycznie się odwrócić** z powodu różnych czynników, takich jak rozbłyski słoneczne, promieniowanie kosmiczne lub błędy sprzętowe. Istnieje **możliwość, że jeden z niektórych bitów przechowywanych lub przesyłanych może zostać automatycznie odwrócony** z powodu różnych czynników, takich jak rozbłyski słoneczne, promieniowanie kosmiczne lub błędy sprzętowe.
Gdy ten koncept jest **zastosowany do żądań DNS**, możliwe jest, że **domena otrzymana przez serwer DNS** nie jest taka sama jak domena początkowo żądana. Gdy ten koncept jest **stosowany do żądań DNS**, możliwe jest, że **domena otrzymana przez serwer DNS** nie jest taka sama jak domena początkowo żądana.
Na przykład pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com". Na przykład pojedyncza modyfikacja bitu w domenie "windows.com" może zmienić ją na "windnws.com."
Atakujący mogą **skorzystać z tego, rejestrując wiele domen z odwróconymi bitami**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie prawowitych użytkowników do własnej infrastruktury. Atakujący mogą **skorzystać z tego, rejestrując wiele domen z odwróconymi bitami**, które są podobne do domeny ofiary. Ich intencją jest przekierowanie legalnych użytkowników do swojej własnej infrastruktury.
Aby uzyskać więcej informacji, przeczytaj [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/) Aby uzyskać więcej informacji, przeczytaj [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)
### Kup zaufaną domenę ### Zakup zaufanej domeny
Możesz szukać na stronie [https://www.expireddomains.net/](https://www.expireddomains.net) po wygasłej domenie, którą możesz użyć.\ Możesz szukać na stronie [https://www.expireddomains.net/](https://www.expireddomains.net) domeny wygasłej, którą możesz wykorzystać.\
Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dobrą optymalizację pod kątem SEO**, możesz sprawdzić, jak jest sklasyfikowana w: Aby upewnić się, że wygasła domena, którą zamierzasz kupić **ma już dobrą SEO**, możesz sprawdzić, jak jest sklasyfikowana w:
* [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter) * [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
* [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/) * [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
## Odkrywanie adresów e-mail ## Odkrywanie Adresów E-mail
* [https://github.com/laramies/theHarvester](https://github.com/laramies/theHarvester) (100% darmowe) * [https://github.com/laramies/theHarvester](https://github.com/laramies/theHarvester) (100% darmowe)
* [https://phonebook.cz/](https://phonebook.cz) (100% darmowe) * [https://phonebook.cz/](https://phonebook.cz) (100% darmowe)
@ -85,17 +85,17 @@ Aby upewnić się, że wygasła domena, którą zamierzasz kupić, **ma już dob
* [https://hunter.io/](https://hunter.io) * [https://hunter.io/](https://hunter.io)
* [https://anymailfinder.com/](https://anymailfinder.com) * [https://anymailfinder.com/](https://anymailfinder.com)
Aby **odkryć więcej** prawidłowych adresów e-mail lub **zweryfikować te**, które już odkryłeś, możesz sprawdzić, czy możesz przeprowadzić atak brute-force na serwery SMTP ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/#username-bruteforce-enumeration).\ Aby **odkryć więcej** prawidłowych adresów e-mail lub **zweryfikować te**, które już odkryłeś, możesz sprawdzić, czy możesz przeprowadzić atak siłowy na serwery SMTP ofiary. [Dowiedz się, jak zweryfikować/odkryć adres e-mail tutaj](../../network-services-pentesting/pentesting-smtp/#username-bruteforce-enumeration).\
Ponadto, nie zapomnij, że jeśli użytkownicy korzystają z **jakiejkolwiek strony internetowej do dostępu do swojej poczty**, możesz sprawdzić, czy jest podatna na **brute force nazwy użytkownika**, i wykorzystać tę podatność, jeśli to możliwe. Ponadto, nie zapomnij, że jeśli użytkownicy korzystają z **jakiegokolwiek portalu internetowego do dostępu do swoich maili**, możesz sprawdzić, czy jest podatny na **siłowe łamanie nazwy użytkownika**, i wykorzystać tę podatność, jeśli to możliwe.
## Konfiguracja GoPhish ## Konfigurowanie GoPhish
### Instalacja ### Instalacja
Możesz go pobrać z [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) Możesz pobrać go z [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)
Pobierz i rozpakuj go do folderu `/opt/gophish`, a następnie uruchom `/opt/gophish/gophish`\ Pobierz i rozpakuj go w `/opt/gophish` i uruchom `/opt/gophish/gophish`\
Otrzymasz hasło dla użytkownika admin na porcie 3333 w wynikach. Następnie uzyskaj dostęp do tego portu i użyj tych danych uwierzytelniających, aby zmienić hasło administratora. Może być konieczne przekierowanie tego portu na lokalny: Otrzymasz hasło dla użytkownika admina na porcie 3333 w wynikach. Następnie uzyskaj dostęp do tego portu i użyj tych danych uwierzytelniających, aby zmienić hasło admina. Może być konieczne przekierowanie tego portu na lokalny:
```bash ```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip> ssh -L 3333:127.0.0.1:3333 <user>@<ip>
``` ```
@ -103,7 +103,7 @@ ssh -L 3333:127.0.0.1:3333 <user>@<ip>
**Konfiguracja certyfikatu TLS** **Konfiguracja certyfikatu TLS**
Przed przystąpieniem do tego kroku powinieneś **już zakupić domenę**, którą zamierzasz użyć, a ta domena musi być **skierowana** na **adres IP VPS**, na którym konfigurujesz **gophish**. Przed tym krokiem powinieneś **już zakupić domenę**, którą zamierzasz użyć, a musi ona być **skierowana** na **adres IP VPS**, na którym konfigurujesz **gophish**.
```bash ```bash
DOMAIN="<domain>" DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto wget https://dl.eff.org/certbot-auto
@ -129,24 +129,24 @@ Następnie dodaj domenę do następujących plików:
* **/etc/postfix/transport** * **/etc/postfix/transport**
* **/etc/postfix/virtual\_regexp** * **/etc/postfix/virtual\_regexp**
**Zmień również wartości następujących zmiennych w pliku /etc/postfix/main.cf** **Zmień również wartości następujących zmiennych wewnątrz /etc/postfix/main.cf**
`myhostname = <domena>`\ `myhostname = <domain>`\
`mydestination = $myhostname, <domena>, localhost.com, localhost` `mydestination = $myhostname, <domain>, localhost.com, localhost`
Na koniec zmodyfikuj pliki **`/etc/hostname`** i **`/etc/mailname`** na nazwę swojej domeny i **zrestartuj VPS.** Na koniec zmodyfikuj pliki **`/etc/hostname`** i **`/etc/mailname`** na nazwę swojej domeny i **zrestartuj swój VPS.**
Teraz utwórz **rekord DNS A** dla `mail.<domena>`, wskazujący na **adres IP** VPS, oraz **rekord DNS MX** wskazujący na `mail.<domena>` Teraz utwórz **rekord A DNS** `mail.<domain>` wskazujący na **adres IP** VPS oraz **rekord MX DNS** wskazujący na `mail.<domain>`
Teraz przetestuj wysłanie wiadomości e-mail: Teraz przetestuj wysłanie e-maila:
```bash ```bash
apt install mailutils apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com echo "This is the body of the email" | mail -s "This is the subject line" test@email.com
``` ```
**Konfiguracja Gophish** **Konfiguracja Gophish**
Zatrzymaj wykonanie Gophish i przystąp do konfiguracji.\ Zatrzymaj wykonanie gophish i przejdź do konfiguracji.\
Zmodyfikuj `/opt/gophish/config.json` według poniższego wzoru (zwróć uwagę na użycie protokołu https): Zmodyfikuj `/opt/gophish/config.json` do następującego (zwróć uwagę na użycie https):
```bash ```bash
{ {
"admin_server": { "admin_server": {
@ -171,9 +171,9 @@ Zmodyfikuj `/opt/gophish/config.json` według poniższego wzoru (zwróć uwagę
} }
} }
``` ```
**Konfiguracja usługi gophish** **Skonfiguruj usługę gophish**
Aby utworzyć usługę gophish, która może być uruchamiana automatycznie i zarządzana jako usługa, można utworzyć plik `/etc/init.d/gophish` o następującej zawartości: Aby utworzyć usługę gophish, która może być uruchamiana automatycznie i zarządzana jako usługa, możesz utworzyć plik `/etc/init.d/gophish` o następującej zawartości:
```bash ```bash
#!/bin/bash #!/bin/bash
# /etc/init.d/gophish # /etc/init.d/gophish
@ -231,23 +231,23 @@ service gophish status
ss -l | grep "3333\|443" ss -l | grep "3333\|443"
service gophish stop service gophish stop
``` ```
## Konfiguracja serwera poczty i domeny ## Konfigurowanie serwera poczty i domeny
### Poczekaj i bądź wiarygodny ### Poczekaj i bądź wiarygodny
Im starsza domena, tym mniejsze prawdopodobieństwo, że zostanie uznana za spam. Dlatego powinieneś poczekać jak najdłużej (przynajmniej 1 tydzień) przed przeprowadzeniem oceny phishingowej. Ponadto, jeśli umieścisz stronę dotyczącą sektora o dobrej reputacji, uzyskasz lepszą reputację. Im starsza jest domena, tym mniej prawdopodobne jest, że zostanie uznana za spam. Dlatego powinieneś poczekać jak najdłużej (przynajmniej 1 tydzień) przed przeprowadzeniem oceny phishingowej. Ponadto, jeśli umieścisz stronę dotyczącą sektora o dobrej reputacji, uzyskana reputacja będzie lepsza.
Należy jednak zauważyć, że nawet jeśli musisz poczekać tydzień, możesz teraz zakończyć konfigurowanie wszystkiego. Zauważ, że nawet jeśli musisz poczekać tydzień, możesz teraz zakończyć konfigurowanie wszystkiego.
### Skonfiguruj rekord Reverse DNS (rDNS) ### Skonfiguruj rekord odwrotnego DNS (rDNS)
Ustaw rekord rDNS (PTR), który przypisuje adres IP VPS do nazwy domeny. Ustaw rekord rDNS (PTR), który rozwiąże adres IP VPS na nazwę domeny.
### Rekord Sender Policy Framework (SPF) ### Rekord polityki nadawcy (SPF)
**Musisz skonfigurować rekord SPF dla nowej domeny**. Jeśli nie wiesz, czym jest rekord SPF, [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/#spf). Musisz **skonfigurować rekord SPF dla nowej domeny**. Jeśli nie wiesz, co to jest rekord SPF, [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/#spf).
Możesz skorzystać z [https://www.spfwizard.net/](https://www.spfwizard.net), aby wygenerować politykę SPF (użyj adresu IP maszyny VPS). Możesz skorzystać z [https://www.spfwizard.net/](https://www.spfwizard.net), aby wygenerować swoją politykę SPF (użyj adresu IP maszyny VPS)
![](<../../.gitbook/assets/image (388).png>) ![](<../../.gitbook/assets/image (388).png>)
@ -259,7 +259,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all
Musisz **skonfigurować rekord DMARC dla nowej domeny**. Jeśli nie wiesz, co to jest rekord DMARC, [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/#dmarc). Musisz **skonfigurować rekord DMARC dla nowej domeny**. Jeśli nie wiesz, co to jest rekord DMARC, [**przeczytaj tę stronę**](../../network-services-pentesting/pentesting-smtp/#dmarc).
Musisz utworzyć nowy rekord DNS TXT, wskazujący na nazwę hosta `_dmarc.<domena>`, o następującej zawartości: Musisz utworzyć nowy rekord DNS TXT wskazujący na nazwę hosta `_dmarc.<domena>` z następującą zawartością:
```bash ```bash
v=DMARC1; p=none v=DMARC1; p=none
``` ```
@ -276,14 +276,14 @@ v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqP
``` ```
{% endhint %} {% endhint %}
### Sprawdź wynik konfiguracji swojego adresu e-mail ### Sprawdź wynik konfiguracji e-mail
Możesz to zrobić za pomocą [https://www.mail-tester.com/](https://www.mail-tester.com)\ Możesz to zrobić za pomocą [https://www.mail-tester.com/](https://www.mail-tester.com)\
Po prostu przejdź na stronę i wyślij e-mail na adres, który podają: Po prostu przejdź na stronę i wyślij e-mail na podany przez nich adres:
```bash ```bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
``` ```
Możesz również **sprawdzić konfigurację swojej poczty e-mail** wysyłając wiadomość e-mail na adres `check-auth@verifier.port25.com` i **odczytując odpowiedź** (w tym celu będziesz musiał **otworzyć** port **25** i sprawdzić odpowiedź w pliku _/var/mail/root_, jeśli wysyłasz wiadomość jako root).\ Możesz również **sprawdzić konfigurację swojej poczty e-mail**, wysyłając e-mail na adres `check-auth@verifier.port25.com` i **odczytując odpowiedź** (aby to zrobić, będziesz musiał **otworzyć** port **25** i sprawdzić odpowiedź w pliku _/var/mail/root_, jeśli wysyłasz e-mail jako root).\
Sprawdź, czy przechodzisz wszystkie testy: Sprawdź, czy przechodzisz wszystkie testy:
```bash ```bash
========================================================== ==========================================================
@ -295,41 +295,41 @@ DKIM check: pass
Sender-ID check: pass Sender-ID check: pass
SpamAssassin check: ham SpamAssassin check: ham
``` ```
Możesz również wysłać **wiadomość do konta Gmail pod Twoją kontrolą** i sprawdzić **nagłówki emaila** w swojej skrzynce odbiorczej Gmaila. W polu nagłówka `Authentication-Results` powinno być obecne `dkim=pass`. Możesz również wysłać **wiadomość do Gmaila pod swoją kontrolą** i sprawdzić **nagłówki e-maila** w swojej skrzynce odbiorczej Gmaila, `dkim=pass` powinno być obecne w polu nagłówka `Authentication-Results`.
``` ```
Authentication-Results: mx.google.com; Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com; spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com; dkim=pass header.i=@example.com;
``` ```
### Usuwanie z listy Spamhouse ### Usuwanie z listy Spamhouse Blacklist
Strona [www.mail-tester.com](www.mail-tester.com) może wskazać, czy Twoja domena jest blokowana przez Spamhouse. Możesz poprosić o usunięcie swojej domeny/IP pod adresem: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) Strona [www.mail-tester.com](www.mail-tester.com) może wskazać, czy twoja domena jest blokowana przez spamhouse. Możesz poprosić o usunięcie swojej domeny/IP pod adresem: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
### Usuwanie z listy czarnej Microsoftu ### Usuwanie z listy czarnej Microsoftu
Możesz poprosić o usunięcie swojej domeny/IP pod adresem [https://sender.office.com/](https://sender.office.com). Możesz poprosić o usunięcie swojej domeny/IP pod adresem [https://sender.office.com/](https://sender.office.com).
## Tworzenie i uruchamianie kampanii GoPhish ## Tworzenie i Uruchamianie Kampanii GoPhish
### Profil wysyłającego ### Profil Wysyłającego
* Ustaw **nazwę identyfikującą** profil wysyłającego * Ustaw **nazwę identyfikującą** profil nadawcy
* Zdecyduj, z którego konta będziesz wysyłać wiadomości phishingowe. Sugestie: _noreply, support, servicedesk, salesforce..._ * Zdecyduj, z którego konta będziesz wysyłać e-maile phishingowe. Sugestie: _noreply, support, servicedesk, salesforce..._
* Możesz pozostawić puste pole dla nazwy użytkownika i hasła, ale upewnij się, że zaznaczono opcję Ignoruj błędy certyfikatu * Możesz pozostawić puste pole nazwy użytkownika i hasła, ale upewnij się, że zaznaczysz Ignoruj Błędy Certyfikatu
![](<../../.gitbook/assets/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (17).png>) ![](<../../.gitbook/assets/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (17).png>)
{% hint style="info" %} {% hint style="info" %}
Zaleca się skorzystanie z funkcji "**Wyślij wiadomość testową**" w celu sprawdzenia, czy wszystko działa poprawnie.\ Zaleca się skorzystanie z funkcji "**Wyślij E-mail Testowy**" w celu sprawdzenia, czy wszystko działa poprawnie.\
Zalecam **wysyłanie wiadomości testowych na adresy 10minutowych skrzynek pocztowych**, aby uniknąć wpadnięcia na czarną listę podczas testów. Zalecam **wysłanie testowych e-maili na adresy 10minutowe** w celu uniknięcia wpadnięcia na czarną listę podczas testów.
{% endhint %} {% endhint %}
### Szablon wiadomości e-mail ### Szablon E-maila
* Ustaw **nazwę identyfikującą** szablonu * Ustaw **nazwę identyfikującą** szablonu
* Następnie napisz **temat** (nic dziwnego, po prostu coś, czego można się spodziewać w zwykłej wiadomości e-mail) * Następnie napisz **temat** (nic dziwnego, po prostu coś, czego można by się spodziewać w zwykłym e-mailu)
* Upewnij się, że zaznaczono "**Dodaj obraz śledzący**" * Upewnij się, że zaznaczyłeś "**Dodaj Obraz Śledzenia**"
* Napisz **szablon wiadomości e-mail** (możesz używać zmiennych, jak w poniższym przykładzie): * Napisz **szablon e-maila** (możesz używać zmiennych, jak w poniższym przykładzie):
```markup ```markup
<html> <html>
<head> <head>
@ -348,58 +348,58 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
</body> </body>
</html> </html>
``` ```
Zwróć uwagę, że **w celu zwiększenia wiarygodności wiadomości e-mail**, zaleca się użycie jakiegoś podpisu z wiadomości e-mail od klienta. Sugestie: Zauważ, że **dla zwiększenia wiarygodności e-maila** zaleca się użycie jakiegoś podpisu z e-maila klienta. Sugestie:
* Wyślij e-mail na **nieistniejący adres** i sprawdź, czy odpowiedź zawiera jakiś podpis. * Wyślij e-mail na **nieistniejący adres** i sprawdź, czy odpowiedź zawiera jakiś podpis.
* Szukaj **publicznych adresów e-mail**, takich jak info@ex.com lub press@ex.com lub public@ex.com i wyślij do nich e-mail, a następnie czekaj na odpowiedź. * Szukaj **publicznych adresów e-mail** takich jak info@ex.com lub press@ex.com lub public@ex.com i wyślij im e-mail, oczekując na odpowiedź.
* Spróbuj skontaktować się z **jakimś odkrytym ważnym** adresem e-mail i czekaj na odpowiedź. * Spróbuj skontaktować się z **jakimś odkrytym ważnym** adresem e-mail i poczekaj na odpowiedź.
![](<../../.gitbook/assets/image (393).png>) ![](<../../.gitbook/assets/image (393).png>)
{% hint style="info" %} {% hint style="info" %}
Szablon wiadomości e-mail umożliwia również **dołączanie plików do wysłania**. Jeśli chcesz również ukraść wyzwania NTLM za pomocą specjalnie przygotowanych plików/dokumentów, [przeczytaj tę stronę](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md). Szablon e-maila pozwala również na **dołączenie plików do wysłania**. Jeśli chcesz również ukraść wyzwania NTLM za pomocą specjalnie przygotowanych plików/dokumentów, [przeczytaj tę stronę](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md).
{% endhint %} {% endhint %}
### Strona docelowa ### Strona docelowa
* Wpisz **nazwę** * Wprowadź **nazwę**
* **Wpisz kod HTML** strony internetowej. Zauważ, że możesz **importować** strony internetowe. * **Napisz kod HTML** strony internetowej. Zauważ, że możesz **importować** strony internetowe.
* Zaznacz opcje **Przechwytywanie przesłanych danych** i **Przechwytywanie haseł** * Zaznacz **Przechwytywanie przesłanych danych** i **Przechwytywanie haseł**
* Ustaw **przekierowanie** * Ustaw **przekierowanie**
![](<../../.gitbook/assets/image (394).png>) ![](<../../.gitbook/assets/image (394).png>)
{% hint style="info" %} {% hint style="info" %}
Zazwyczaj będziesz musiał zmodyfikować kod HTML strony i przeprowadzić testy lokalne (może za pomocą serwera Apache), **aż uzyskasz satysfakcjonujące wyniki**. Następnie wpisz ten kod HTML w polu tekstowym.\ Zazwyczaj będziesz musiał zmodyfikować kod HTML strony i przeprowadzić testy lokalnie (może używając serwera Apache) **aż uzyskasz pożądane rezultaty**. Następnie wpisz ten kod HTML w pole.\
Zauważ, że jeśli potrzebujesz **użyć jakichś statycznych zasobów** dla HTML (może to być jakiś arkusz CSS lub strony JS), możesz je zapisać w _**/opt/gophish/static/endpoint**_ i następnie uzyskać do nich dostęp z _**/static/\<nazwa_pliku>**_ Zauważ, że jeśli potrzebujesz **użyć jakichś zasobów statycznych** dla HTML (może to być CSS i JS), możesz je zapisać w _**/opt/gophish/static/endpoint**_ i później uzyskać do nich dostęp z _**/static/\<nazwapliku>**_
{% endhint %} {% endhint %}
{% hint style="info" %} {% hint style="info" %}
W przypadku przekierowania możesz **przekierować użytkowników na prawidłową główną stronę internetową** ofiary lub przekierować ich na _/static/migration.html_ na przykład, umieścić **kręcące się koło** ([**https://loading.io/**](https://loading.io)) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem. W przypadku przekierowania możesz **przekierować użytkowników na prawdziwą główną stronę internetową** ofiary, lub przekierować ich na _/static/migration.html_ na przykład, dodać **kręcące się koło** ([**https://loading.io/**](https://loading.io)) przez 5 sekund, a następnie wskazać, że proces zakończył się sukcesem.
{% endhint %} {% endhint %}
### Użytkownicy i grupy ### Użytkownicy i Grupy
* Ustaw nazwę * Ustaw nazwę
* **Zaimportuj dane** (zauważ, że aby użyć szablonu dla przykładu, potrzebujesz imienia, nazwiska i adresu e-mail każdego użytkownika) * **Zaimportuj dane** (zauważ, że aby użyć szablonu w przykładzie, potrzebujesz imienia, nazwiska i adresu e-mail każdego użytkownika)
![](<../../.gitbook/assets/image (395).png>) ![](<../../.gitbook/assets/image (395).png>)
### Kampania ### Kampania
Na koniec utwórz kampanię, wybierając nazwę, szablon wiadomości e-mail, stronę docelową, URL, profil wysyłania i grupę. Zauważ, że URL będzie linkiem wysłanym do ofiar. W końcu, stwórz kampanię wybierając nazwę, szablon e-maila, stronę docelową, URL, profil wysyłania i grupę. Zauważ, że URL będzie linkiem wysłanym do ofiar
Zauważ, że **Profil wysyłania pozwala na wysłanie testowej wiadomości e-mail, aby zobaczyć, jak będzie wyglądać ostateczna wiadomość phishingowa**: Zauważ, że **Profil Wysyłania pozwala na wysłanie testowego e-maila, aby zobaczyć, jak będzie wyglądał ostateczny e-mail phishingowy**:
![](<../../.gitbook/assets/image (396).png>) ![](<../../.gitbook/assets/image (396).png>)
{% hint style="info" %} {% hint style="info" %}
Zalecam wysyłanie testowych wiadomości e-mail na adresy 10minutowych skrzynek pocztowych, aby uniknąć czarnolistowania podczas testów. Zalecam **wysyłanie testowych e-maili na adresy 10minutemail**, aby uniknąć wpadnięcia na czarną listę podczas testów.
{% endhint %} {% endhint %}
Gdy wszystko jest gotowe, wystarczy uruchomić kampanię! Gdy wszystko jest gotowe, wystarczy uruchomić kampanię!
## Klonowanie stron internetowych ## Klonowanie Strony Internetowej
Jeśli z jakiegoś powodu chcesz sklonować stronę internetową, sprawdź następującą stronę: Jeśli z jakiegoś powodu chcesz sklonować stronę internetową, sprawdź następującą stronę:
@ -407,10 +407,10 @@ Jeśli z jakiegoś powodu chcesz sklonować stronę internetową, sprawdź nast
[clone-a-website.md](clone-a-website.md) [clone-a-website.md](clone-a-website.md)
{% endcontent-ref %} {% endcontent-ref %}
## Dokumenty i pliki z tylnymi drzwiami ## Dokumenty i Pliki z Tylnymi Drzwiami
W niektórych ocenach phishingowych (głównie dla Red Teamów) będziesz chciał również **wysłać pliki zawierające pewnego rodzaju tylną furtkę** (może to być C2 lub po prostu coś, co wywoła uwierzytelnienie).\ W niektórych ocenach phishingowych (głównie dla Red Teams) będziesz chciał również **wysłać pliki zawierające jakieś rodzaje tylnych drzwi** (może to być C2 lub po prostu coś, co wywoła uwierzytelnienie).\
Sprawdź następującą stronę, aby zobaczyć przykłady: Sprawdź następującą stronę dla przykładów:
{% content-ref url="phishing-documents.md" %} {% content-ref url="phishing-documents.md" %}
[phishing-documents.md](phishing-documents.md) [phishing-documents.md](phishing-documents.md)
@ -420,23 +420,54 @@ Sprawdź następującą stronę, aby zobaczyć przykłady:
### Przez Proxy MitM ### Przez Proxy MitM
Poprzedni atak jest dość sprytny, ponieważ podszywasz się pod prawdziwą stronę internetową i zbierasz informacje wprowadzone przez użytkownika. Niestety, jeśli użytkownik nie podał poprawnego hasła lub jeśli aplikacja, którą podszywasz się, jest skonfigurowana z 2FA, **te informacje nie pozwolą ci podszyć się pod oszukanego użytkownika**. Poprzedni atak jest dość sprytny, ponieważ podszywasz się pod prawdziwą stronę internetową i zbierasz informacje wprowadzone przez użytkownika. Niestety, jeśli użytkownik nie wprowadził poprawnego hasła lub jeśli aplikacja, którą podszywasz się, jest skonfigurowana z 2FA, **te informacje nie pozwolą ci podać się za oszukanego użytkownika**.
W takich przypadkach przydatne są narzędzia takie jak [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) i [**muraena**](https://github.com/muraenateam/muraena). Narzędzia te umożliwiają generowanie ataku typu MitM. W zasadzie atak działa w następujący sposób: W takich przypadkach narzędzia takie jak [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) i [**muraena**](https://github.com/muraenateam/muraena) są przydatne. Narzędzie to pozwoli ci wygenerować atak typu MitM. W skrócie, ataki działają w następujący sposób:
1. **Podszywasz się pod formularz logowania** prawdziwej strony internetowej. 1. **Podszywasz się pod formularz logowania** prawdziwej strony internetowej.
2. Użytkownik **wysyła** swoje **dane uwierzytelniające** do twojej fałszywej strony, a narzędzie wysyła je do prawdziwej strony internetowej, **sprawdzając, czy dane uwierzytelniające są poprawne**. 2. Użytkownik **wysyła** swoje **dane uwierzytelniające** na twoją fałszywą stronę, a narzędzie przesyła je do prawdziwej strony internetowej, **sprawdzając, czy dane uwierzytelniające są poprawne**.
3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik je wprowadzi**, narzędzie prześle je do prawdziwej strony internetowej. 3. Jeśli konto jest skonfigurowane z **2FA**, strona MitM poprosi o to, a gdy **użytkownik je wprowadzi**, narzędzie prześle je do prawdziwej strony internetowej.
4. Gdy użytkownik zostanie uwierzytelniony, ty (jako atakujący) **przechwycisz dane uwierzytelniające, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak typu MitM. 4. Gdy użytkownik zostanie uwierzytelniony, ty (jako atakujący) **przechwycisz dane uwierzytelniające, 2FA, ciasteczka i wszelkie informacje** z każdej interakcji, podczas gdy narzędzie wykonuje atak MitM.
### Przez VNC ### Przez VNC
Co by się stało, gdybyś zamiast **wysyłać ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, wysłał ją do **sesji VNC z przeglądarką podłączoną do prawdziwej strony internetowej**? Będziesz mógł zobaczyć, co robi, ukraść hasło, użyte MFA, ciasteczka...\ Co jeśli zamiast **przekierować ofiarę na złośliwą stronę** o takim samym wyglądzie jak oryginalna, przekierujesz ją na **sesję VNC z przeglądarką podłączoną do prawdziwej strony internetowej**? Będziesz mógł zobaczyć, co robi, ukraść hasło, użyte MFA, ciasteczka...\
Możesz to zrobić za pomocą [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) Możesz to zrobić za pomocą [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)
## Wykrywanie wykrycia ## Wykrywanie wykrycia
Oczywiście jednym z najlepszych sposobów, aby dowiedzieć się, czy zostałeś wykryty, jest **wyszukiwanie swojej domeny na czarnych listach**. Jeśli jest tam wymieniona, oznacza to, że twoja domena została uznana za podejrzaną.\ Oczywiście jednym z najlepszych sposobów, aby dowiedzieć się, czy zostałeś wykryty, jest **sprawdzenie swojej domeny na czarnych listach**. Jeśli się tam znajduje, to w jakiś sposób twoja domena została uznana za podejrzaną.\
Łatwym sposobem sprawdzenia, czy twoja domena znajduje się na jakiejkolwiek czarnej liście, jest skorzystanie z [https://malwareworld.com/](https://malwareworld.com) Łatwym sposobem sprawdzenia, czy twoja domena znajduje się na jakiejkolwiek czarnej liście, jest skorzystanie z [https://malwareworld.com/](https://malwareworld.com)
Jednak istnieją inne spos Jednak istnieją inne sposoby, aby dowiedzieć się, czy ofiara **aktywnie szuka podejrzanej aktywności phishingowej w sieci**, jak wyjaśniono w:
{% content-ref url="detecting-phising.md" %}
[detecting-phising.md](detecting-phising.md)
{% endcontent-ref %}
Możesz **kupić domenę o bardzo podobnej nazwie** do domeny ofiary **i/lub wygenerować certyfikat** dla **poddomeny** domeny kontrolowanej przez ciebie **zawierającej** słowo kluczowe z domeny ofiary. Jeśli **ofiara** wykonuje jakiekolwiek **interakcje DNS lub HTTP** z nimi, będziesz wiedział, że **aktywnie szuka** podejrzanych domen i będziesz musiał działać bardzo dyskretnie.
### Ocenianie phishingu
Użyj [**Phishious** ](https://github.com/Rices/Phishious), aby ocenić, czy twój e-mail trafi do folderu spamu, czy zostanie zablokowany, czy też będzie udany.
## Referencje
* [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
* [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
* [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
* [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>