Mac电脑钓鱼到拿下核心权限
目录
一. 前言
二. PKG后门制作阶段
2.1 环境准备
2.2 制作过程
2.3 成功上线
三 . 浏览器密码抓取
四. 权限维持
1. 手动权限维持
2. MSF自动化维持
五. 参考文章
一. 前言
攻防对抗强度和难度日益演进,传统的渗透测试思路成本逐渐提高,钓鱼已经成为当下攻击者最常用攻击手段之一。在某次针对某企业的攻防演练中,攻击队成员伪装成初入社会的求职女大学生,成功骗取目标单位某员工的信任,在攻击者的引导下,多次在企业内网下载和运行木马,为攻击人员制造了大量的攻击机会,最终击穿目标多种网络防护,获得生产网控制权。
在对抗前期,通过对目标的情报侦察,发现目标单位互联网资产较少,但在脉脉、招聘软件等职场交流平台上有大量目标单位员工活跃,通过观察目标群体的活动记录、社交信息等,攻击队制定了如下社工钓鱼的思路:
(1)伪装为求职的应届毕业生针对特定职位钓鱼;
(2)伪装为其他厂商HR对特定员工进行钓鱼;
求职相关的钓鱼方式往往较为简单直接,HR等职业群体本身工作性质就需要经常与陌生人沟通并建立联系,且经常需要收发简历等文件,因此往往警戒心较弱。大部分人本身是很善良的,因此伪装为求职等应届生或已经拿到Offer准备入职的未来新同事,员工往往会放松警惕,热心的为其提供大量帮助,甚至无意间透露一些敏感信息ÿ