99%的人都不知道的秘密:世上竟有如此酷炫的钓鱼系统!

2018-08-17 423841人围观 ,发现 45 个不明物体 WEB安全工具

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

PS:本文仅用于技术讨论,严禁用于非法用途

photo-1534246357846-40b500934c14.jpg

钓鱼作为从远古时期出现的手段,到现在的风靡在各种成功的攻击案例中几乎成为一个高级hacker必不可少的技能。

高超的钓鱼技巧取决于精心设计的社会工程学话术套路外,也必须配备一个优秀的钓鱼系统才能保证攻击的高效。一次成功的钓鱼往往可以打开一个天衣无缝目标的突破口,从而深入地进行进一步渗透,以期达到持久化埋下伏笔……

在APT的世界中,0day攻击似乎号称核武器,但熟练的施行者往往知道0day的力量并不是那么无坚不摧,也需要层层的信息刺探才能在关键环境让一个漏洞利用发挥它应有的攻击效果,而在这当中,针对人的攻击往往无往而不利,最高超的攻击人员往往在永恒的漏洞上面攻击实践会比其它花费更多的时间。

这里指的永恒的漏洞可以意味人性的缺陷(心理战)、钓鱼、恶劣的习惯(弱口令/密码通用),永远存在的暴力破解、自身网络行为的痕迹、欲望想获得的东西、平日的日常生活习惯、最喜欢的app应用等等等,问题本身的攻击往往让人捉摸不透也难以做到全面防御,当然不同的人群不同的职业也有不同的手段。

举个例子,黑客对漏洞武器的着迷往往可以利用,我对目标发布一个号称最新的exploit利用pack包,里面捆绑隐藏好我的后门(针对麻瓜不多说,但对专业的从业者、hacker、情报人员等等一定要做到免杀性!),他或许谨慎的会在虚拟机、沙箱、还原系统打开,但是如果我在这个伪造程序中构造的更复杂一些,让他花费十分钟看我的说明,再花费十分钟做实验,最后当他发现实验失败以后我也已经把我的工作做完了。尤甚几年前我的一个idea,没有人会在意jar、py的威胁,我经常把shellcode捆绑到一些原装应用上,对方老是无往不利的帮我打开他们……

举个简单的例子,如果我号称发布最新的破解版burp(其实只是在crack论坛下载了一个),然后我将jar木马添加到burp中(这个利用程序某日会发在微博),你可以想象能获得多少的“黑客资源”,因为几乎所有强或弱的黑客们,在测试web的漏洞都会用到burp而且离不开他。或者我将一些利用程序的代码添加在python中,人们往往一个git clone下载看也不看就开始尝试这个小脚本的功能,更有甚者经常在本机的gui平台上运行他们,你可以想象我收获了多少有用的东西,你认为杀毒防护软件可以发现他们吗?NO,当然不行,谁会去care一个jar和py呢?

当然这都是很久之前的经历了,现在我做的技术分享都是安全向的,我想通过反向思维来变得更安全,我们可以从中养成一些好习惯。但是世界就是这么有趣,或许我的电脑也被监视着,但我也不担心,因为没有什么不能被看到的东西,我英俊的脸庞也被胶带挡在了前置镜头前面,更重要的东西我都放在移动硬盘上并且设置好了加密。

好了言归正传……

今天的正餐《99%的人都不知道的秘密:世上竟有如此酷炫的钓鱼系统!》,我相信你有了它肯定具备了成为高威胁人员的基础条件了,万丈高楼平地起,希望热爱技术不干坏事的你我他/她都越来越强。

先来放几张预览图。

Instagram:

ins.jpgFacebook:

facebook.jpgSnapchat:

Snapchat.jpgTwitter:

twitter.jpg

Github:

github.jpgPayPal:

PayPal.jpgSteam:

Steam.jpg它能做到几乎33个项目的钓鱼瞬间完成:

[01] Instagram      [17] IGFollowers   [33] Custom

[02] Facebook       [18] eBay                      ▒▒▒▒▒▒▒▒▄▄▄▄▄▄▄▄▒▒▒▒▒▒

[03] Snapchat       [19] Pinterest                 ▒▒█▒▒▒▄██████████▄▒▒▒▒

[04] Twitter        [20] CryptoCurrency            ▒█▐▒▒▒████████████▒▒▒▒

[05] Github         [21] Verizon                   ▒▌▐▒▒██▄▀██████▀▄██▒▒▒

[06] Google         [22] DropBox                   ▐┼▐▒▒██▄▄▄▄██▄▄▄▄██▒▒▒

[07] Spotify        [23] Adobe ID                  ▐┼▐▒▒██████████████▒▒▒

[08] Netflix        [24] Shopify                   ▐▄▐████─▀▐▐▀█─█─▌▐██▄▒

[09] PayPal         [25] Messenger                 ▒▒█████──────────▐███▌

[10] Origin         [26] GitLab                    ▒▒█▀▀██▄█─▄───▐─▄███▀▒

[11] Steam          [27] Twitch                    ▒▒█▒▒███████▄██████▒▒▒

[12] Yahoo          [28] MySpace                   ▒▒▒▒▒██████████████▒▒▒

[13] Linkedin       [29] Badoo                     ▒▒▒▒▒█████████▐▌██▌▒▒▒

[14] Protonmail     [30] VK                        ▒▒▒▒▒▐▀▐▒▌▀█▀▒▐▒█▒▒▒▒▒

[15] WordPress      [31] Yandex                    ▒▒▒▒▒▒▒▒▒▒▒▐▒▒▒▒▌▒▒▒▒▒

[16] Microsoft      [32] devianART               

重点是它可以自定义,在对企业内网渗透或者特定人员钓鱼攻击中不要太好用。

我随便构造一个:

NSA.jpgOK,如果你觉得它太粗糙,那我们可以在sites包里面修改源代码,非常的简单,有些些php和html基础就OK(实在不会内置的绝对够用)。

然后就可以创造一个自己需要的完全版克隆页面:

freebuf.jpg例如FreeBuf:

freebf.jpgWeibo:

weibo.jpg

How to won?

git clone https://github.com/flagellantX/blackeye
./black.sh

如何攻击外网(Forwarding)?

买空间注册fake域名(可能不久以后会讲如何获得一些匿名的服务器空间),简单的想要调戏一下朋友无外乎ngrok转发一下,或者黑一台海外服务器,用后即毁,要成为一个拔迪奥无情的人才能足够的stay in anon。

有教学视频(Video)吗?

这次比较水,只是这个钓鱼构架有点好迫不及待的推出来了,字数不够就干货来凑了。

最后的最后,我一直不会忘记新人们的boy/girl,安全行业的发展和未来一定是他们的,所以,如果你是个noob想成为hacker,漫天的找教程找书,甚至被fake被骗,求爷爷告奶奶的问大牛却换来叫你去看厚厚的一卷TCP/IP协议或者一些你根本用不上看不懂的东西,可以点我修仙,我相信肯定可以帮到你,入门,嗯。

作者的其他骚套路

震惊!仅仅6kb木马绕过360全家桶和电脑管家

细思极恐!黑客通过一个短信就可以定位到你

可怕!一招1kb后门持久控制系统并绕过所有安全软件

photo-1534250181471-a453fae2231d.jpg

PS:我最近其实是个标题党系列,感谢小编夸骚~

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    我个人认为fb上写文章都是奔着分享精神弄出来的,就拿这篇被喷的那么凶我自己也就是认为这个东西ok很不错,推荐一下,觉得好的一些思路推荐一下,没别的意思,吃你家米了拿你家钱了?
    那么有人觉得哪里不好,不ok的,就做点实效性的指正,指正的目的是让需要的读者更好的使用,别把自己自我感觉良好的那一套搬出来放一个屁,这里又不是你家。
    技术文章不管哪一块哪一方面研究的,总有不足的地方,不通畅的意思,你觉得自己学到过的学的更好的又有心的话,可以帮忙补通畅,资料丢了的链接可以找一找帮忙补补,营造一个和谐的氛围才能促进交流进步
    如果你今天喷这个明天喷那个,就是为了满足一点快感,觉得自己真牛逼,你写个程序天天夸自己就行了,不要把自己的快乐建立在别人的汗水上,每个人写东西都是要付出时间和精力的,相信很多作者写出来的东西被莫名进行一波为了嘲讽而嘲讽的都深有体会,freebuf上下付出的小编和工作人员的努力难道是为了部分喷子当练兵场?做人还是要有点良心的,别把生活的不愉快找个地方就当自己家里的马桶。
    反正在我这里,你觉得我的东西ok你可以用到,你感谢我的分享,我也很感谢你的欣赏。 我不会因为几句“大牛大佬666”开心的飞天上,也不会因为“傻叉垃圾写的什么玩意”整的很郁闷,但是我觉得不ok的做法你要是在我这里撒泼,你怎么乱喷的,我会梳理清楚给你怼回去,我不会惯着。
    最后的最后,我知道有的人觉得自己的技术不错了,到哪评论都想要头上带一个大牛的帽子,抱歉我不这么认为,哪怕你今天能在任何一台系统上getshell,但连做人都没拎的清的,到处撒泼,恃强凌弱(这种人我见得惯了,在菜鸟面前恨不得自己是个在世活神一样,在一些真正出名的大黑客微博下天天刷666),哪怕你真的那么屌,我也可以掐了网线扇你一个耳刮子,人敬我一尺我敬人一尺,你在我面前要不把自己当人玩,我也不会把你当人看的。
    )67( 亮了
  • 亲爱的jumbo 回复
    看完这个我还是觉得我国小学生比较强悍。。。。。。
    )16( 亮了
  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    @ Green_m  fork呢因为github上很多工具会被各种原因撤下来,方便我自己也方便需要的朋友使用
    "我还以为是你自己开源的代码,点进去发现不是" 我文章从没提是自己开源的,而且说得很清楚只是因为工具好迫不及待的推出来,你一厢情愿的认为我有什么办法?
    "既然是 fork 的,那想再看看改进了哪些地方,结果和源仓库一模一样。
    Are you kidding me?" 人之所以为人,就是有的人说话是说话,有的人说话是放屁,很显然你是后者。文中我也说了,二次开发个人认为也就是针对需要的页面构造一下,那么你觉得可以二次开发更好,贴出来就是,放个屁就跑这跟牛马猪羊无异,显然他们跟你的共同点就是会放屁不会说话。
    而且我连个是个什么屌毛都不知道,我没有什么可以kidding你的,我翻了翻你的文章和评论,在开发和二进制的确花了功夫,不过看你的评论经常是自认自己技术很不错的状态去喷文章作者的弱点,这样我给你个建议你试试看在freebuf文章审核处看能不能要你,这样你可以方便的安排出你觉得ok的文章,只是一个网站不可能围着你一个人转的。所以综上,道不同不相为谋,我很看不起你这种人,哪怕你往后技术再好也没有意义,以后也就别来自找没趣在我文章下面比比了,或者爱看看不看滚,这句话对你觉得不ok的那些都适用,没人需要你这种自恃清高的指教,放武侠小说里也就是岳不群之流的败类,你做不到实效的就选择喷,这样我只认为你做人很垃圾,不喜欢就走开,没人碍着你的利益,你在别人那放屁我不管,我这不会惯着你,就这样。
    )13( 亮了
  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    @ Green_m  有的人吃素,有的人吃荤,有的人荤素搭配,吃多了就胖了,吃少了就瘦了,吃久了的人长的高长得快,吃的时间短的还在慢慢成长。
    freebuf上的文章有技术研究、漏洞分析,源码阅读,脚本使用等等等各种各种,面向的是刚学的新手和学久的老手以及一些成名的大牛也关注着用来观看一些资讯和技术。
    你不能把自己狭隘的三观强加在别人身上和代表一个安全圈,每个人的学习是靠着热爱,新手一样老手一样名手一样,人有高低之分但技术没有贵贱之别。
    如果你觉得有的文章很”垃圾“(像你自己说的),不应该发表,那你去加入审核组(我真是有毛病又重复一遍),但你又懒得,所以像你自己说的就用”喷“来喷审核,喷作者,来排泄你自己身上的排泄物从而证明你自己的价值?
    这怕是不能证明你自己的价值,按照你这不正的三观,新手学个机儿安全?脚本有什么好写文章的,一个链接的事情,那很多专栏和作者的文章好撤掉了,最后就留你这个大牛洋洋洒洒的在这儿写metasploit的免杀?
    我最后跟你说这么一通,我真的很看不起你这种人,特别是你在有的刚学技术的朋友写的文章下面一通的喷,你做的只是打压他人的热情,让别人觉得自己菜来成全自己的一道心理,什么玩意?
    你想发光发热,觉得自己技术很厉害了,freebuf上有公开课在招募,你把你的技术来教授出来,不仅能像你自己说的上首页头条,能获得一个你内心想博得关注,想获得他人敬仰的心态,还能帮助想学习的人难道不ok?助人为乐,利己利人,不ok?
    我真期待你能做点有用的事情,而不是到处找机会用恶意打压别人的热情,你代表不了安全圈,不用对事也不用对人,就你这狭隘的三观,说你是岳不群太对了,,这才是真正的菜,劣根性上的菜,想反驳我就去做点有意义的事,呵呵答了。
    )13( 亮了
  • flagellantX (4级) 在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍... 回复
    @ 艾登——皮尔斯 
    说话前可以照照镜子,没有镜子也可以撒泡尿
    )10( 亮了
发表评论

已有 45 条评论

取消
Loading...
flagellantX

在路上点滴挪步,不骄不躁,极度讨厌恃强凌弱欺负菜鸟的人格障碍,hacking不是全部,不要莫名优越,生活才是,其它只应当是热爱。

5 文章数 56 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php