- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全
钓鱼攻击全解:技术与实战
钓鱼攻击的类型(TypesofPhishingAttacks)根据目标的范围和定制程度,钓鱼攻击可以分为几种类型:钓鱼(Phishing):针对广泛人群的大规模攻击,邮件内容通常比较通用。 鱼叉式钓鱼是红队行动中获取初始访问的常用手段。短信钓鱼(Smishing):通过短信(SMS)进行的钓鱼攻击。 语音钓鱼(Vishing):通过电话进行的钓鱼攻击,攻击者可能冒充银行工作人员、技术支持等。示例场景:攻击者侦察到目标公司位置及其附近的食品供应商。发现一家本地饼干店“终极饼干”。 攻击者现在可以访问公司内部信息,并利用该邮箱对其他员工发起进一步的钓鱼攻击。 恶意链接:指向攻击者搭建的钓鱼网站或托管恶意载荷的页面。
35220编辑于 2025-12-31 钓鱼邮件攻击
钓鱼邮件攻击【实验目的】通过Measploit生成msi命名为java的JDK,上传至DMZ区门户网站1的服务器,并诱使用域用户放下戒备,下载安装可信任文件,了解并掌握钓鱼邮件的原理。 【知识点】钓鱼邮件【实验原理】钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真 3.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户。4.模拟域用户xiaozhang下载安装执行木马。5.开启Meaploit监听返回shell。 3.上传msi木马回到网站门户1【202.1.10.37】远程窗口,复制桌面的【jdk-21_windows-x64_bin.msi】文件至网站门户1【202.1.10.37】的D:\phpStudy4IIS 目前互联网大量恶意攻击者已监测到该漏洞细节。
27232编辑于 2025-11-30- 来自专栏HACK学习
钓鱼攻击:Gophish邮件钓鱼平台搭建
前言 目前越来越多的红蓝对抗中,钓鱼邮件攻击使用的越来越频繁,也是比较高效打点的一种方式,常见的钓鱼邮件攻击一种是直接通过二维码,内嵌链接、直接索要敏感信息等方式钓运维人员、内部人员相关的管理账号密码, (3)现在,我们就可以启动gophish了: chmod 777 gophish nohup . 功能 简述 Dashboard 仪表板,查看整体测试情况 Campaigns 每次攻击前需要配置一次 Users & Groups 用户和用户组(添加需要进行钓鱼的邮箱和相关基础信息) Email Templates 在Campaigns中,可以新建钓鱼事件,并选择编辑好的钓鱼邮件模板,钓鱼页面,通过配置好的发件邮箱,将钓鱼邮件发送给目标用户组内的所有用户。 当URL填写了http://主机IP/,并成功创建了当前的钓鱼事件后,Gophish会在主机的81端口部署当前钓鱼事件所选定的钓鱼页面,并在发送的钓鱼邮件里,将其中所有的超链接都替换成部署在81端口的钓鱼页面的
21.5K32发布于 2021-03-03 - 来自专栏子云笔记
Cobaltstrike钓鱼攻击(上)
一、 1.attacks--->web drive-by---->system profiler 1.jpg 2.jpg 3.jpg 4.jpg 5.jpg 7.jpg 9.jpg
65640编辑于 2022-02-25 - 来自专栏公共互联网反网络钓鱼(APCN)
警惕“精准钓鱼”:3起学生受骗事件暴露新型网络钓鱼攻击链
近期,针对青少年用户的复合型网络钓鱼攻击事件集中爆发。攻击者利用暑期学生居家上网频率上升的特点,通过恶意广告投放、仿冒应用诱导、社交工程操控等手段,构建完整攻击链,实施精准钓鱼。 本文结合3起真实案例,揭示当前网络钓鱼攻击的演化路径与技术特征,呼吁全社会提升对“高级持续性钓鱼威胁”(APhT)的认知与防御能力。 案例3:游戏内广告→虚假交易平台→账号冻结话术钓鱼学生X某在热门游戏中点击“代练招募”广告链接,跳转至一个与知名游戏交易平台界面高度相似的钓鱼网站。 二、攻击趋势研判:网络钓鱼已进入“智能化、场景化、闭环化”阶段2025年上半年,针对青少年的网络钓鱼攻击同比增长明显,呈现出三大演化特征:1.攻击入口多元化钓鱼不再依赖单一邮件或短信,而是广泛渗透至浏览器弹窗广告 3.社会工程与技术手段深度融合攻击者结合心理学诱导(如“稀缺性”“从众效应”“沉没成本”)与技术伪装(域名仿冒、UI克隆、HTTPS加密),大幅提升网络钓鱼成功率。
64510编辑于 2025-10-09 - 来自专栏FreeBuf
浅析Punycode钓鱼攻击
0x01 Punycode钓鱼攻击 1.1什么是网络钓鱼? 1.3钓鱼四步走 看天 根据不同国家或地区,看看当前国情和时事,发现哪些目标和人群适合钓鱼攻击,进行定点钓鱼。 选竿 选择特定的目标人群。 0x02 Punycode钓鱼攻击介绍 钓鱼攻击,“几乎无法检测”,即便平时十分谨慎的用户也可能无法逃过欺骗。 与此同时,建议可能受此钓鱼攻击影响的用户暂时关闭浏览器中的Punycode支持,来分辨钓鱼域名,缓解此攻击。 /id/189066#h2-1 https://www.anquanke.com/post/id/147104 https://prsdigg.com/articles/8ed62523c167e2f3df779242e486d58089e87e381c3d40d09f14e4df0cdc1385
2.4K20发布于 2021-01-08 - 来自专栏信安之路
内网系统凭证钓鱼攻击
在内网进行横向移动提权的时候,需要获取大量用户的域账号信息,通常的方式是抓取目标机器上的登录哈希和密码,除了这种方式,还可以通过网络钓鱼的方式,欺骗用户使用凭证输入到我们伪造的页面上。 Invoke-LoginPrompt 这个脚本的功能和使用方法与 CredsLeaker 类似,下载地址: https://github.com/enigma0x3/Invoke-LoginPrompt 可以指定创建特定进程时弹出输入提示窗口,必须制定当前已经连接的 Meterpreter 会话: use post/windows/gather/phish_windows_credentials set SESSION 3 参考文献 https://attack.mitre.org/techniques/T1141/ https://enigma0x3.net/2015/01/21/phishing-for-credentials-if-you-want-it-just-ask / https://github.com/enigma0x3/Invoke-LoginPrompt https://github.com/samratashok/nishang/blob/master/
1.9K30发布于 2021-04-14 - 来自专栏Linux运维之路
shell编程——实战3(防御网络攻击)
3. 实施开发目的:编写脚本和配置文件。编写 shell 脚本来监控日志文件。配置 fail2ban 规则文件。测试脚本的功能。4. 测试与验证目的:确保系统的稳定性和可靠性。单元测试脚本的各个部分。 执行模拟攻击进行压力测试。5. 部署与维护目的:将系统部署到生产环境,并持续监控其性能。在服务器上部署脚本和服务。设置定时任务来定期清理 iptables 规则。监控系统性能并进行必要的调整。
26500编辑于 2024-08-05 什么是网络钓鱼攻击,企业如何加强防范基于AI的网络钓鱼攻击
网络钓鱼邮件通常会包含诱人的标题或内容,以吸引受害者点击链接或下载附件。3、异常邮件检测利用AI技术分析邮件的发送模式、语言风格和内容特征,识别出与常规邮件不同的异常邮件。 2、开展网络钓鱼模拟要企业应对网络钓鱼攻击的实战能力,唯一的方法就是进行测试。模拟使用AI生成的内容进行网络钓鱼活动是对抗威胁的重要部分。 3、使用AI分析模型用AI来对付AI是未来网络安全技术发展的重要部分。 网络钓鱼攻击检测将是企业整体网络和基础设施安全战略的关键部分,当AI辅助的网络基础设施侦察和攻击检测能力相结合时,对网络钓鱼攻击的检测效率将会大大提升。 4、建立高效建立应急响应机制在处理基于AI的网络钓鱼攻击时,能否第一时间向安全人员发出攻击警报至关重要。因为AI辅助的钓鱼攻击活动可以更快速地大规模展开,及时识别非常重要。
81210编辑于 2024-05-22- 来自专栏玄魂工作室
实战-Fluxion与wifi热点伪造、钓鱼、中间人攻击、wifi破解
match a.扫描能够接收到的WIFI信号 b.抓取握手包(这一步的目的是为了验证WiFi密码是否正确) c.使用WEB接口 d.启动一个假的AP实例来模拟原本的接入点 e.然后会生成一个MDK3进程 图3 ? 图4 安装fluxion ls命令:显示目录列表 ? 图5 cd命令:用来切换工作目录 ? 图6 继续ls ? 图7 ./:运行脚本 ? 图8 ? 这个时候我们要等一下,要是wifi是有人使用而且流量较大的话也就1分钟的样子,一般等上个1到3分钟是比较好的。然后我们选中1,如果是握手包的数量不足我们就选中1检查握手包,选项是不会被执行的 ? Fluxion实战破解wifi到这里就结束了。
7.7K60发布于 2018-04-12 - 来自专栏渗透测试专栏
渗透测试信息收集技巧(10)——Office钓鱼和钓鱼攻击
Cobalt Strike钓鱼 word操作 点击上方标签视图标签,在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮。 当目标机器运行文档以后,Cobalt Strike会接受到目标机器反弹的shell 目标进程会增加一个rundl32.exe进程 钓鱼攻击 CHM钓鱼 LNK钓鱼 HTA钓鱼 CHM钓鱼 CHM(Compiled 利用CHM钓鱼主要原因是因为该文档可以执行cmd命令。 接下来生成钓鱼文件。 LNK钓鱼 Ink文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件通常它以快捷方式放在硬盘上,以方便使用者快速的调用。Ink钓鱼主要将图标伪装成正常图标,但是目标会执行she命令。
55710编辑于 2024-09-27 - 来自专栏betasec
CobaltStrike专题 | CobaltStrike钓鱼攻击与防范
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 (3) 点击View -> Application进行查看。 ? (4)此时就可以把vps域名发给目标了,至于什么途径发送,靠大家的想象啦,等目标点击以后,就可以获取到目标用户一些有用信息了。 ? 02 钓鱼页面部署和账号密码搜集 接下来给大家介绍。 03 钓鱼防范措施 1. 对员工进行培训能够加深员工对网络钓鱼技能的认知,以便识别钓鱼行为; 2. 认清网址是防止误上钓鱼网站,核对网站域名; 3. 安全防护:IE浏览器等新版本的主流浏览器提供了“仿冒网站筛选器”或类似的功能,本地安装杀毒软件等; - 往期推荐 - CobaltStrike专题 | 实战化部署及注意事项 关于Cobalt Strike
1.9K10发布于 2021-06-10 - 来自专栏BM CTF
钓鱼攻击:深度解析与防范策略
一、引言 在当今的网络世界中,钓鱼攻击已经成为一种日益猖獗的威胁。 这种攻击方式利用电子邮件、社交媒体或其他在线平台,伪装成可信赖的来源,诱导受害者点击恶意链接或下载恶意附件,进而窃取个人信息或实施其他恶意行为。 本文将深入解析钓鱼攻击的原理、常见手法和防范策略,帮助您保护自己的网络安全。 二、钓鱼攻击原理 钓鱼攻击的核心在于欺骗。攻击者通过精心设计的伪装手段,诱骗受害者点击恶意链接或下载恶意附件。 三、常见钓鱼手法 伪造邮件:攻击者通过伪造银行、政府机构或其他可信赖的实体,发送欺诈邮件,诱导受害者点击恶意链接或下载恶意附件。 伪造网站:攻击者通过搭建与目标网站相似的欺诈网站,诱导受害者在欺诈网站上输入敏感信息。 社交媒体诈骗:攻击者在社交媒体上发布虚假信息,诱导受害者在欺诈网站上注册账号或下载恶意附件。
88310编辑于 2024-02-05 - 来自专栏Ms08067安全实验室
钓鱼攻击整理-不知攻,焉知防
文章来源|应急响应训练营【Ms08067】 本文作者:Taoing 钓鱼思路整理 一、目标信息收集 二、目标环境 三、社交 四、基础设施 五、邮件 邮箱信息收集 六、钓鱼话术模板 案例一: 案例二: 案例三 :钓鱼案例:Chrome漏洞一键修复 一、目标信息收集 业务范围 金融 医疗 卫生 IT 组织架构 董事会 高管 财务 采购 运维 人员信息 针对不同职位采用不同话术 按照,部门、职务、难易程度分类,分批次投递 YouTube、TG 工作软件进行钓简历 四、基础设施 目标地区匿名手机号 目标地区常用邮箱 目标近似域名 五、邮件 话术 落款信息、开头语、结束语、标题、发信人名称/部门名称 邮件格式 仿正规邮件,无明显钓鱼邮件格式 ,邮件添加logo增加可信度 发信IP或服务 优先选择第三方邮件服务,正规无拉黑 发信频率 多批次,少投递,高精准 邮箱信息收集 python3 . 附件名称:2021年度本单位职工个税补缴名单.rar 案例三:钓鱼案例:Chrome漏洞一键修复 补丁欺骗、利用Tools欺骗、通知欺骗。
1.6K20编辑于 2022-05-27 - 来自专栏腾讯安全应急响应中心
红蓝对抗之邮件钓鱼攻击
但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯前,钓⻥攻击(Phishing)已经成为对抗中⼀种必不可少且非常有效的攻击⼿法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),一旦有人中招,攻击队就直接能进 其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。 本⽂将以腾讯蓝军真实项⽬中的一部分细节为⼤家介绍⼀些钓⻥⼿段和钓⻥话术。 看下⾯的动图展示: 3. rar_self_extract.gif 1.5 ⾃解压+RLO 上⾯介绍了⾃解压和RLO,那如果两者组合在⼀起呢? 大多数原因都是用人单位急招人,项目急需人,因此会在各平台留下简历投递的邮箱,而又正好被攻击者获取,而受害者又相信投递者都是善良的,还能解决招人的燃眉之急,在这种情况下,提高了简历投递钓鱼的成功率; 2 3、别忘了,收简历的人大多数是什么人,是HR。那我们继续想想,为什么HR不提防?
1.5K20发布于 2020-09-07 - 来自专栏Khan安全团队
钓鱼钓鱼是攻击计算机的最常用的技术
研究人员在分析了数十亿次攻击后警告说,Microsoft Office宏,PowerShell等仍在通过网络钓鱼电子邮件分发攻击的网络罪犯中很受欢迎。 网络钓鱼电子邮件是大多数网络入侵的第一步,网络犯罪分子使用心理技巧诱使潜在受害者打开并与恶意消息进行交互。 沙盒逃避是分发网络钓鱼电子邮件的犯罪分子使用的第二种最常见的攻击技术。 目的是阻止分析人员检查攻击,从而防止其他系统受到攻击。 攻击者仍会定期将PowerShell滥用,以将其作为网络钓鱼电子邮件的最初立足点,从而获得对网络的访问。 用于使网络钓鱼电子邮件更成功的其他常见攻击技术包括将用户重定向到带有恶意HTML代码的网站,这些网站将在恶意软件访问受害者时将恶意软件拖放到受害者的PC上,而众所周知,攻击者只是劫持电子邮件线程,利用受害者如何信任受害者出于恶意目的信任的已知联系人和滥用行为
1.2K20发布于 2021-03-10 - 来自专栏Windows运维
如何防止钓鱼网站攻击?
安装反钓鱼插件(如Web of Trust、Bitdefender TrafficLight等),以实时检测和阻止钓鱼网站。 即使账户密码泄露,攻击者也无法仅凭密码登录。方法五:定期更新系统和软件步骤:打开“设置” -> “更新和安全” -> “Windows 更新”。点击“检查更新”,安装所有可用的安全补丁。 方法六:教育用户提高安全意识步骤:定期向用户宣传网络安全知识,强调防范钓鱼攻击的重要性。提供实际案例分析,帮助用户识别常见的钓鱼手法。模拟钓鱼攻击演练,测试并提升用户的防范能力。 方法七:使用反钓鱼工具和服务推荐工具:PhishTank:提供全球范围内的钓鱼网站数据库。Google Safe Browsing:实时检测和阻止危险网站。
1.6K20编辑于 2025-03-23 - 来自专栏公共互联网反网络钓鱼(APCN)
Web3 网络钓鱼攻击的演化、技术剖析与防御体系构建
值得注意的是,网络钓鱼并非传统意义上的技术漏洞利用,而是一种以社会工程学为核心、辅以链上交互机制滥用的复合型攻击。其高成功率源于Web3用户操作范式的根本特性:私钥即身份、交易不可逆、授权即转移。 本文旨在系统性剖析2024年Web3网络钓鱼攻击的技术演化路径,结合真实案例与链上数据,揭示其运作机理,并在此基础上提出一套融合前端交互防护、智能合约审计与链下行为监控的纵深防御体系。 二、网络钓鱼攻击的量化分析与趋势演进2.1 攻击规模与经济损失2024年,网络钓鱼攻击呈现出“高频率、高单损”的特征。 三、Web3网络钓鱼的核心技术手法剖析传统网络钓鱼依赖伪造登录页面窃取账号密码。而在Web3语境下,攻击目标转变为用户的私钥、助记词或交易授权。其技术手法更为隐蔽且直接作用于链上资产。 该攻击的成功完全依赖于人性弱点,规避了所有技术层面的防护,极具破坏力。3.2 授权钓鱼(Approval Phishing / Ice Phishing)这是Web3独有的、危害极大的主动式攻击。
32610编辑于 2025-11-19 - 来自专栏FreeBuf
Reddit遭钓鱼攻击,攻击者已获得内部权限
据BleepingComputer消息,全球最大社交新闻站点Reddit在当地时间2月5日晚间遭到了网络钓鱼攻击。 该公司表示,攻击者使用了一种针对 Reddit 员工的网络钓鱼诱饵,通过冒充其内部网站的登陆页面,试图窃取双因素验证码,从而获得员工账户凭证。 Reddit称,这名员工在主动报告异常后,安全团队迅速做出反应,取消了攻击者的访问权限并进行内部调查。 虽然 Reddit 没有分享有关这次网络钓鱼攻击的任何细节,但他们提到和之前拳头公司遭遇的攻击类似,当时攻击者窃取了包括《英雄联盟》在内旗下多款游戏的源代码,并提出1000万美元的赎金要求。 2018年6月,Reddit也曾遭遇网络攻击,攻击者通过拦截双因素认证码短信来入侵其部分员工的账户,从而非法进入Reddit系统,盗取了部分用户数据,包括一些现有用户邮件地址以及一个创建于2007年的历史数据库及相关密码
52520编辑于 2023-02-24 - 来自专栏漏洞知识库
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
渗透攻击红队 一个专注于红队攻击的公众号 ? 大家好,这里是 渗透攻击红队 的第 54 篇文章,本公众号会记录一些红队攻击的笔记(由浅到深),不定时更新 ? DDE 攻击演示 DDE 攻击打开 calc 首先通过 word 文档设置一个域代码:crlt+f9,或者选中“插入”-“文件部件”-“域”,选中第一个 = (Formula) 然后右键切换域代码来编辑代码 Meterpreter 那如果是要反弹 shell 的话需要借助 MSF 来帮助我们: msf > use exploit/multi/script/web_delivery msf > set target 3 结尾 DDE 攻击比较老了,不过在渗透中难免还是会碰到;关于 DDE 攻击的缺点就在于目标必须要点击两次“是”才能够执行 DDE 代码进行攻击,而至于怎样才能让目标心甘情愿的点击,那就靠各位如何包装钓鱼邮件 ,和如何实施了,一份逼真的钓鱼鱼饵在于你搜集到目标的信息是否准确真实,在此不多解释大家都懂。
1.4K40发布于 2021-04-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号