中国骇客云教您利用Cobalt strike进行钓鱼邮件的制作及发送。

前几天,在freebuf上就发表了新的Cobalt strike,提权利器Cobalt Strike发布3.6版本,介绍什么的就不多说,我们试着利用Cobalt strike进行钓鱼邮件的制作及发送。

0×01 利用Cobalt strike制作一个word宏病毒

首先我们需要制作一个word宏病毒来进行远控操作。在Cobalt strike中,需要新建一个监听程序来进行监听,如下图:

Image

然后点击attacks -> packages -> ms office macro,如下图所示:

屏幕快照 2017-01-10 下午2.04.45.png

选择前面所创建的listener,如下:

屏幕快照 2017-01-10 下午2.16.17.png

屏幕快照 2017-01-10 下午2.17.11.png

复制宏内容,然后打开一个word文档,添加宏,记得添加的地方不能有误,添加宏的位置在 视图 -> 宏。创建宏以后添加代码是在project中,这点不能搞错,如下图。

图片 1.png

添加完成以后,只需要保存为启用宏的word就可以了,这样就制作为一个word宏病毒文件。

这样就可以发送了,但是为了提高钓鱼的成功率,可以再进行一个钓鱼网页的制作。

0×02 利用Cobalt strike克隆网站

制作钓鱼页面的主要目的就是让受害者输入账号密码,从而攻击者得到该账号密码。

依次点击attacks -> web drive-by -> clone site ,如下图所示。

屏幕快照 2017-01-10 下午3.21.37.png

Image

clone url填写需要克隆网站的url后面填写本地就可以,在真实的渗透中,应当是拿下一台二级域名的站,然后进行挂链接.

然后访问该网站就搭建成功。

屏幕快照 2017-01-10 下午3.36.17.png

现在钓鱼链接我们有了,word木马也有了,我们就可以发送钓鱼邮件了,Cobalt strike也集成了钓鱼邮件发送的功能。

0×03 利用Cobalt strike发送钓鱼邮件

利用前面步下的路,我们就可以进行钓鱼邮件的发送,这也是非常简单的。该功能在attacks -> spear phish 点开以后如下:

屏幕快照 2017-01-10 下午3.50.38.png

targets是要发送邮箱地址的文件,比如:

admin@admin.com

test@admin.com

template是要发送邮件的模板,这个可以在个人邮箱中导出一个即可。

attachment放入我们搞好的word

embed url填写搭建好的网站,然后配置好mailserver,bounce to 是模仿发件人,自己添写即可,然后就可以愉快的发送钓鱼邮件啦~

GPS追踪工具Traccar中国骇客云教您玩儿转最新最全的安全工具

还是之前freebuf上的工具介绍看到的,不过看到下面有人评论说没用成功,我就把我体验的过程写一下。

点进官网能下载到服务端和客户端:

1.png

条件有几个:

1.jdk1.7

2.服务端具有公网地址

3.traccar-client在终端必须有使用GPS或网络定位的权限

先确保自己安装了jdk1.7以上版本,安装traccar 运行setup.exe。一切默认就好,就算在C盘也占空间不大。

安装好后一定要重启,然后打开Traccar的服务(如果打开不了,只能说明有安全软件拦截了,先关掉就好)。接下来安装手机端。都是手机版,总共有三种:苹果显示版,安卓显示版,安卓隐形版。(www.traccar.org/client/

所谓显示版就是正常手机应用,可以看到图标的。隐形版就看不见咯。

2.png

这张图是apk版打开的界面,显示版和隐形版界面相同

接下来先更改Device identifier。他的作用就是区分跟踪对象,因为一个服务器端traccar可以追踪很多台设备,用identifier区分,鉴于identifier是6位,那么总共可以追踪的设备总共有600000个。

3.png

我就把我的手机标记为这串数字。

接下来,写服务器端的地址,这个地址要求一定要是公网地址(当然任何局域网内也可以,只不过范围太小,其实只要客户端能跟服务端通信,都没有问题)。所以,对于一部分人来说,应该是不能很好的体验这个工具了。

4.png

接下来,看个人手机吧,我的手机用GPS几乎发送不了数据,所以只能选择网络定位,因人而异,也可以选择混合型定位方式。

5.png

当你在移动设备上完成这些操作,基本上你就可以成为一个尾随痴汉了。

打开服务器,打开服务器,输入“http://localhost:8082“就可以打开界面。登录要账户,默认admin,密码admin。

进入后左上角有个加号,点击添加一个追踪对象,名字随便写,identifier写对应的。

当手机可以发送数据数时就可以在服务器看到了,再把web服务对外开放一下,基本能随时监控了。

我出去走了一段路看了一下,定位街道位置没问题的。

测试时手机用的小米3,服务器是windows2008r2。

上次看到一个类似的工具叫opengts,有兴趣的朋友也能看一看。

中国骇客云教您Ubuntu下安装BeEf

BeEF是目前欧美最流行的web框架攻击平台,它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍,很多pentester对这个工具都有很高的赞美。

通过XSS这个简单的漏洞,BeEF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人

本文将主要介绍如何在Ubuntu下安装BeEF

安装环境

deb http://ubuntu.mirror.cambrium.nl/ubuntu/ precise main universe     添加软件源apt-get install ruby1.9.3apt-get install libssl-dev libsqlite3-dev sqlitesudo apt-get install g++apt-get install git

安装BeEF

git clone https://github.com/beefproject/beefsudo gem install bundlerbundle installcat config.yaml | grep driver:./beef

安装上面命令执行就能跑起来

http://localhost:3000/ui/authentication默认帐号密码都是beef修改帐号密码,beef目录打开config.yaml修改

Metasploit使用BeEF,官方安装视频

之前介绍了用NFC去破解卡,我们在看看使用acr122进行破解,更多可以关注骇客云端

1首先买一部acr122

2绿灯。接下来进行破解,还有一件忘了说,要确定自己的水卡是可以破解的。这个没怎么研究,芯片大概是方形的
3最主要的是如何破解算法。水卡一般都是默认密码,用软件一下就破解开了。利用的是M1卡服务程序,链接。把卡放在机器上点击开始破解

4得到一个文件

5这个文件要转成TXT才能看到里面的数据。
软件链接。转成TXT后打开,记住它代表的金额188.40,重命名

6在把卡拿去消费一下。
放在机器上破解,得到的文件再转成txt,重命名。打开两个文件对比。

7有6位数字不一样,根据我查阅很多教程的经验前四位代表的是实际金额。后面两位数就是校验位。例如188.40第六扇区第1区块中的的9849B1,9849代表的就是18840.下载一个进制转换器,链接.

898和49调换一下,第四行就是16进制。输入进去,第三行就出现了实际代表的金额!。接下来再算下j校验位。B1输入到第四行,第三行就出现了177,98输入第四行,第三行就出现了152.同理49转成10进制就是73,73+152=255.255-177=48。算出来了它的规律啦。可能不同的卡有不同的算法吧。前面四个数字分开转换进制和后面两个数字转换进制差48.不同的卡这个数字不同,因为学校水卡升级我又破解了,哈哈哈。扇区也变了,但是万变不离其宗。再验证一下消费后的188.16,看到它的数据804999.80转10进制等于128,同理49=73,99=153。153+48=128+73.看来我是对的。接下来可以随意改数据了。补充一下知识。十进制是0123456789这几个数字组成的。十六进制是0123456789ABCDEF.组成。十进制里面的10这个数字用十六进制表达就是A,十进制的11这个数字用十六进制表达就是B,目前根据实践校验位只有两位,算出最大的校验位是FF.转成十进制就是255.255+48=303,也就是说前面的四个数字分为两组转成十进制相加等于303,要使这两组十六进制的数字代表的10进制最大,就要把他们代表的数字一个最大一个最小。若果是303+0=303,303转换十六进制就是12F,不行,就只有两个位。变成三个位出来了,不知道怎么倒过来。所以再倒过来想,FF代表的是最大的数字。FF=255,303-255=48,48转十六进制等于30,所以FF30代表的数字就是最大的。转成十进制就是653.28元。接下来把他们写进去,用软件打开一个原先的数据,没有转TXT的,链接。

9找到那个地方直接修改,这样。

10然后保存。再用工具写进去,写的卡需要自己买,学校的卡零扇区不能更改,写不进去。某宝上有uid可擦写的卡,自己去找,很便宜。链接。

可能会修改到999.99,暂时没想出来,想出来告诉大家

工具下载:链接: https://pan.baidu.com/s/1pLIvRXD 密码: pbn2

中国骇客云平台教您用NFC手机改写破解饭卡余额

中国骇客云教您如何使用安卓手机中的NFC功能来修改饭卡余额。条件是手机配备有NFC功能,并且卡能够被NFC读取和修改。
经MCT的检测,结果发现饭卡也是Mifare Classic 1k的卡。

饭卡检测结果
那既然是M1卡,依旧来尝试读一下扇区,看有没有存在默认密钥。读取之后发现,卡片除了0扇区都被加密了,看来安全性还不错。可惜M1卡被破解,全部扇区加密都能够XOR算出密钥来还说有一个扇区密钥是知道的,无任何安全性可言。

0扇区存在默认密码
0扇区并没加密,所以还是可以用跟水卡破解一样的手法,M1卡的验证漏洞,具体过程就不再阐述了,可以去翻看一下之前写过的,破解出密钥之后就重点来分析下算法。其实这跟软件破解是一样原理,我们需要的不是破解密钥的方法,而是从根源上将算法破解,破解密钥简单几步没任何电脑基础的都能完成,正如学编程不是学语法而是不断提高自己的程序思维,这样我们才能学到东西。
在我破解了密钥之后,我直接将key导入了MCT中,直接用MCT读取,比起用十六进制编辑器,我倒很喜欢有M1卡特有结构高亮功能的MCT,毕竟是专门用于Mifare卡的工具,卡中数据十分直观。仔细看看,1、2、10扇区存在数据,想要数据分析必须有多组数据,找同学借了几张卡来做对照。一轮对比过后,发现我的卡又是比较奇葩的,所有人的卡都是1、2扇区存在数据,只有我的10扇区有数据,纳闷啊……

10扇区的奇怪数据
把10扇区清空,忙着生命危险跑去小卖部试了试,发现一切正常,好了,我是奇葩……
我消费了几次,拿回来之后发现,都是2扇区的扇区数据发生了变化,基本可以确定钱的数据就在2扇区,那1扇区到底是干嘛的呢?尝试清空1扇区,再去小卖部试卡,一切正常。猛然想起,学校旧的热水系统是使用饭卡的,今年更换了新系统之后才换的卡,估计1扇区就是旧热水系统的了,机器现在已经不复存在了,果断清空。

清空1扇区数据
重点来看看饭卡的数据,直接用电脑的十六进制编辑器打开dump文件,就发现2扇区0段有我的名字的存在,这里是使用GBK内码保存的汉字,然后我尝试将刚刚在消费机上看到的卡号转成十六进制,在名字前不远的地方就发现了痕迹,那现在尝试下修改姓名和卡号

修改姓名

修改卡号
抱着赴死的心再去小卖部(小卖部的阿姨已经开始注意我这个鬼鬼祟祟的小子了),在众多掩护之下拍下了这个结果图,成功了。

卡号姓名修改成功
接下来就到了最振奋人心的修改金额了,经过前面几次消费的分析,我发现2扇区除了0段和3段之外,中间的两段数据都是发生了改变,并且每次都只有其中一行发生改变,这个问题困扰了我将近一天时间,最后在某个时刻茅塞顿开,终于想明白了。卡中的两字节数据变化,泄露了这两行数据的用途。

仔细看看数值
01BF和01BE不刚刚好相差1吗?于是去小卖部多消费了几次,再结合之前充值的几次记录,终于发现,这个值每交易一次就会加1。这应该就是交易的次数记录了,问同学借了一张刚刚充值过的卡,发现不管是充值还是消费在这里都记录了最近两次的消费记录,并且第一行是记录奇数次的,第二行是记录偶数次的,这也就造成了之前为什么变化的位置不通。知道这个规矩之后后面的工作就简单得多了,每一行肯定是代表了一次消费记录,其他数据干什么用对于我们的分析也不会造成太大的干扰。

将我现在饭卡的余额转换成十六进制,马上就发现了前8位就是记录了这次交易后的余额,紧接着的就是这次的交易的金额,再接着就是消费次数,后面还有很长一段数据应该是消费机的编号了(这个会在后续继续破解,目前暂时没有头绪),尝试着将饭卡按这个规律计算了一次,将卡修改成一百多块钱,结果如下图。

计算好的饭卡
一切弄好之后写入到新卡,拿去测试,一切正常,使用非常完好,到此为止饭卡也被全部破解了。改个强悍点的数值看一看。

破解成功

软件下载地址:http://pan.baidu.com/s/1gf1Hl2V    如果连接不正确请联系官方客服报错即可!软件存在骇客云端和百度云盘当中可以使用我们的工具噢~~