tryhackme——Phishing

一、网络钓鱼实验

相关工具：GoPhish、SET

访问https://10.10.40.193，并使用admin:tryhackme进行登录

对sending profile进行配置，并保存。这是本质上是使用本地的SMTP服务器进行钓鱼邮件的发送。

• sending profile是GoPhish软件用来发送网络钓鱼邮件的邮件发送工具的设置。想象一下，如果你想通过电子邮件发送东西，你需要一个邮局（SMTP服务器）来帮你把邮件寄出去。而sending profile就是告诉GoPhish软件，它应该使用哪个“邮局”（SMTP服务器）来发送网络钓鱼邮件。
• 假如你想通过GoPhish发送网络钓鱼邮件，而你有一个Gmail邮箱。你需要告诉GoPhish以下信息：
  • SMTP服务器地址：smtp.gmail.com
  • SMTP端口号：587（Gmail推荐的端口号）
  • 用户名：你的Gmail邮箱地址
  • 密码：你的Gmail邮箱密码

Landing Pages实际上是设置登录页面，这是网络钓鱼邮件将引导受害者访问的网站，该页面通常是受害者熟悉的某个网站的伪造版本。登录页面的html代码如下：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>ACME IT SUPPORT - Admin Panel</title>
    <style>
        body { font-family: "Ubuntu", monospace; text-align: center }
        div.login-form { margin:auto; width:300px; border:1px solid #ececec; padding:10px;text-align: left;font-size:13px;}
        div.login-form div input { margin-bottom:7px;}
        div.login-form input { width:280px;}
        div.login-form div:last-child { text-align: center; }
        div.login-form div:last-child input { width:100px;}
    </style>
</head>
<body>
    <h2>ACME IT SUPPORT</h2>
    <h3>Admin Panel</h3>
    <form method="post">
        <div class="login-form">
            <div>Username:</div>
            <div><input name="username"></div>
            <div>Password:</div>
            <div><input type="password" name="password"></div>
            <div><input type="submit" value="Login"></div>
        </div>
    </form>
</body>
</html>

点击source可以预览页面：

Email Templates：这将要发送给受害者的邮件的设计和内容；它需要具有说服力，并包含一个指向你登录页面的链接，以便能够捕获受害者的用户名和密码。


Users & Groups：其实就是你将钓鱼邮件发送给哪些用户。

Campaigns：这里的URL是Gophish的地址，也就是攻击者控制的Web服务器。


复盘一下整个过程：GoPhish使用攻击者的邮箱发送钓鱼邮件（send profile中的URL就是SMTP服务器的IP），然后受害者收到邮件，点击邮件中的链接，就会跳到Campaigns中设置的IP（GoPhish的IP），看到的界面就是Landing Pages中设置的登录界面。

二、域名选择

1. 过期域名
   虽然并非必要，但购买一个有一定历史的域名可能会让你的域名在垃圾邮件过滤器中获得更好的评分。垃圾邮件过滤器往往不太信任全新的域名，而更倾向于信任有一定历史的域名。
2. 拼写混淆是指注册的域名与你试图冒充的目标域名非常相似。以下是一些常见的方法：
   • 拼写错误：goggle.com 与 google.com
   • 添加额外的句点：go.ogle.com 与 google.com
   • 用数字替换字母：g00gle.com 与 google.com
   • 添加后缀词：googles.com 与 google.com
   • 添加额外的单词：googleresults.com 与 google.com
3. 顶级域名替代（TLD Alternatives）：
   顶级域名（TLD）是域名中的.com、.net、.co.uk、.org、.gov等部分，如今有数百种不同的顶级域名。选择域名的一个常见技巧是使用相同的名字，但搭配不同的顶级域名。例如，注册tryhackme.co.uk来冒充tryhackme.com。
4. 国际域名同形异义攻击/脚本伪造（IDN Homograph Attack/Script Spoofing）
   nicode字符U+0430（西里尔字母小写a）看起来与用于英语的Unicode字符U+0061（拉丁字母小写a）完全相同，这使得攻击者能够注册一个看起来几乎与另一个域名完全相同的域名。