Py学习  »  Git

利用Github对安全人员进行钓鱼

黑白之道 • 5 年前 • 627 次点击  

作为一个执着于刷SRC挣外快的搬砖工,我决定当一次搅屎棍。


现在刷SRC的白帽子们都有在Git上搜索相关厂商工作人员信息的习惯,那么可以利用这一点,来实施一次"黑吃黑",给这个计划取个名字吧“登录成功!(Login Successed!)”


计划简介:


白帽子们通过Git搜索到相关目标厂商的信息,那么他就可以利用搜索到的密码等信息进行进一步渗透,常见的Git信息泄漏就是邮箱泄漏了。我们可以在Git上创建一个项目,项目中伪造一个目标厂商的员工邮箱或者员工私人邮箱的账号密码,白帽子们一定会通过这个账号密码尝试登陆。登陆过后,白帽子就可以发现事先精心准备好的word文档或者是可执行文件。通过文件名称或者是邮件内容诱导白帽子运行word文档或者是可执行文件。 白帽子运行了构造好的可执行文件浏览器跳转到提示页面,测试结束(测试页面收集了访问IP和访问时间)。


计划目的:


纯属无聊。


(2017年1月8日,7点36分,此时我在想只是为了好玩加测试,还是不用backdoor)


前期准备:


因为只是想做个小测试,不想花太高成本,所以钓鱼邮箱就使用163,QQ这类邮箱。


1. Git账号一枚。(项目一定要高仿) 2. 目标厂商一个。(Git上相同厂商不能太多。) 3. 163邮箱若干。(用来伪造长期的来往通信) 4. 静态页面一枚。(用于收集一些其他数据)


计划步骤:


1.先注册了个163邮箱。

账号:linweip1ng@163.com

密码:LinWeiP1ng123 (密码现在已修改)


2.邮箱内容填充。


邮箱内容填充时需要一个敏感邮件诱导白帽子打开,用了白帽子比较感兴趣的VPN作诱饵。


首先,模拟一份VPN使用说明书,说明书中演示了VPN的整个使用步骤,本来准备去网络上下载的绿色版VPN来冒充下,但是想了下网络上下载的不大安全,就自己写了个打开网页的EXE冒充下算了。



最后弄个图标啥的就好了,打开EXE后会访问

http://lao.dog/login_plan/ip.php


因为测试需要统计些信息,因此保存了"受害者"的ip以及访问时间在

http://lao.dog/login_plan/ip.txt


为了使VPN文件夹内容更加逼真,在VPN文件夹同目录下添加一两个材料文件



这里说明下,vpnclient.exe 有397KB,本来编译生成后的只有22KB,但是因为生成的文件太小,太可疑了,因此填充了图标资源在里面。


为了更逼真点,当然还要再放点东西



每一个文件内容都表明这是XXXX员工的信息,光有"干货"也不行,也得有一些其他无关紧要的内容才行,不过没啥精力每天给邮箱发内容,所以转几封邮件凑个数就OK(邮件发送时间的确是硬伤)。



3.利用上面这个邮箱账号注册了Git,账号密码和邮箱一样。
(Git账户已删除)


4.最后是高仿项目,其实可以Clone其他厂商的项目然后替换关键字。
这里改了另一个厂商的东西,在某个文件里面添加上面的邮箱密码,关键字".com","smtp","password"也都有了,传到git上试试。



上传完毕,搜索下



最后,就是白帽子们的"挖洞之旅"了。


--------------时间分割线--------------


噗!2017年1月9日,下班后,计划实施不到24小时,就有哥们上钩了,不过没想到还是熟悉的小伙伴中招了!


监控脚本发送邮件提示



群里小伙伴要打死我了!



给XXXX厂商的安全工作人员添麻烦了,不好意思啦!


比较简陋的一次测试,如果真的精心准备的话,应该还是可以让很多白帽子上钩的。



文章出处:硬糖

原文链接:http://pwn.dog/index.php/Web-Security/24.html?from=timeline


今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/cYCZtBrool
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/20893
 
627 次点击