本文经过脱敏,所有的案例非真实存在,思路仅供参考

1.信息收集

HW（红队/攻击方）刚开始的前两天最重要的事就是对各个目标资产进行信息收集，这对钓鱼来说更是至关重要的，以下是我自己对于这次钓鱼方面信息收集的几点总结：

1. 确定目标和范围：
1. 明确目标的资产和目标网络范围。
2. 确定哪些信息是关键的（手机、邮箱、个人联系方式），以及收集这些信息的新旧程度，比如招聘时间等
2. 公开信息收集：

• 企查查https://www.qcc.com天眼查https://www.tianyancha.com
• 可以使用寻标宝查询招标文件https://xunbiaobao.baidu.com
• 鹰图平台https://hunter.qianxin.com
• 备案信息查询https://www.beianx.cn

1. 利用搜索引擎查找与目标相关的公开信息，如公司官网、公司员工、合作伙伴、招投标信息、招聘信息、邮箱、技术栈、运维联系方式等。
2. 微信公众号、论坛、新闻稿、会议或行业报告可能包含有关目标的信息。
3. 使用社工库查询找到的公司手机号主人姓名及其他信息

2. 提前做好准备

2.1 工具上的准备

提前准备好钓鱼使用的微信、手机号、邮箱、还有捆绑免杀木马的文件

手机号和微信这种个人联系方式要准备毫无信息的，避免被溯源

每次钓鱼前提前测试好木马是否免杀

钓鱼用到的文件类型主要可以分为：

1.招标/投标文件

2.个人简历

3.XX/XX下发配合网络安全检测工作的通知

4.采购明细单

5.高温补贴

6.个人津贴通知

7.项目合同

8.XX/XX漏洞通报文件

用多余的微信和手机号是为了避免被防守方溯源

这里最主要的是一定提前自己测试好木马是不是免杀，可以绕过360、火绒、腾讯管家等

如果木马不能免杀的话，那么在钓鱼成功后要多出一步让对方关闭杀毒软件的步骤（远程对方之后手动关闭杀毒软件），这样可能会提升对方的警戒程度或者降低这次钓鱼成功的几率导致前功尽弃

在这回HW钓鱼期间就碰见过类似的事，对方会问：“为什么你们的文件被杀了/为什么杀毒软件会报毒”

这种情况下就需要开动自己的脑筋去给对方解释：“可能是杀毒软件误报了”类似的话术，但实际上还是综上所述，会降低自己在对方的信任度和钓鱼成功几率，所以确定好木马的免杀非常重要，不要平白无故给自己钓鱼行动上难度

2.2 心理上的准备

钓鱼的方式多种多样，也不是固定的，包括但不限于：联系运维、公司HR，投递简历、招标文件、热心群众进行举报、伪装调查问卷、发送有关住房公积金调整文件、公司进行某方面采购/合作、木马捆绑文件批量发邮箱、通过社交媒体平台发送欺骗性信息，诱使用户泄露个人信息或点击恶意链接，创建伪造的网页，模仿真实网站的外观，引导用户输入敏感信息

当然了准备并不是说只有准备好手机号以及微信号还有木马，还有更多的是在心理素质和抗压能力上，简单来说就是主打一个胆大心细，这里举个例子，我们这回钓鱼的主要扮演角色是XX的XX/XX，在与对方进行打电话沟通时，提前想好自己该怎么说话（如：您好，我们这边是某某XX/XX的工作人员，在技术人员日常的网络巡检中，发现您单位xx平台/网站存在漏洞.../您好，我是xx公司的，在某网站/公众号看见贵单位正在进行招标，我公司也想参与招标，可以给个招标的邮箱吗？.../）像我开头所说，钓鱼话术其实并没有固定的句式，更重要的还是能够随机应变

说话一定要有条理逻辑清晰且不能紧张，不能结巴也不能畏畏缩缩没有底气，如上所述的状态如果全占那钓鱼成功基本没戏，人家接电话对接的不管是领导还是单位员工只会觉得你是电信诈骗犯毫无可信度

关于心理素质这块对于我自己的话只能说，最开始我也不太敢钓鱼（我自己是属于心理会紧张但不会表现出来），后来多尝试几次就会慢慢变好（直到现在开始钓鱼毫无心理压力），尤其是在钓鱼成功取得成绩的情况时会非常有成就感和开心，最重要的是别去想钓鱼失败或者没钓上怎么办，这些都无所谓，顺其自然最重要，钓不上就换下一个就好了

同样也是这次钓鱼期间发生的事，一位同事跟我配合钓鱼，但是在钓鱼期间以及钓鱼成功之后，他说：“这跟直接进别人家当着别人面偷钱有什么区别”，心理负担非常重，导致他自己本人一直不在状态，当天上午在其他方面也没有什么成效然后一直在反复思考这件事，接下来的后续钓鱼行动我只能一人分饰两角接着进行，好在最后还是成功了

所以我希望各位看到这的家人们对于钓鱼这件事调整好自己的心态和看法做好心理准备，不要害怕也不要紧张，更不要给自己太大的心理压力/负担，首先HW期间的钓鱼是为了HW拥有成绩，也是用来弥补输出不够找不到突破点的方法，其次钓鱼是在HW规则下所允许的合规行为，更是为了使目标单位/公司的人员以后能够提高防范意识

因为我们不是黑客所以钓鱼成功了也不会干一些违法的事情，但是真正的黑客不会管那么多，被骗了只会造成重大的信息泄露事故和其他我们没法预料到的重大违法事件

3. 整体回顾

3.1 钓鱼成功案例总结

3.1.1 XXXX集团

2023年

这家就是没什么好说的，防范意识很低，老套路，假装XX工作人员，下发漏洞通报然后就可以坐等对方上线了

最后的结果就是他把文件转发给了运维，运维用电脑打开文件，然后我们这边通过CS发现成功上线了，突破内网隔离、读取浏览器密码，拿下目标，一气呵成

发现了蓝队防守方报告

2024年

因为去年已经钓鱼过XX集团的领导了所以今年联系XX的领导还是一样的效果

甚至可以说是最简单的一次钓鱼了

通过捆绑木马成功上线领导电脑

领导将木马转手发给运维后成功上线运维电脑，但因为同事敲了exit命令导致掉线，只好二次钓鱼运维

再次通过领导联系到运维，让运维给我们发送日志，假装观看日志隔上一段时间后谎称还有木马存在，需要运维配合我们进行远程排查

远程软件个人名称也需要进行伪装

最后通过远程给运维的服务器上传木马

读取浏览器密码成功拿下所有权限

3.1.2 XXXXX局

从招投标网站查到了乙方，于是联系了乙方运维，刚好甲方的服务器运维还没过质保在乙方那块

乙方是在内地的公司，这种时候我们假装是XXXX/XX的工作人员就会非常好使，因为他们压根也没地方没渠道去进行核实，更何况我们还提前做了XX伪造XX文件，最绝的是这回还用上了伪造邮箱改成XXXX/XX的邮箱（以假乱真了属于是）

这个运维确实是把我们的文件打开了，但是可能木马出了点问题，没有上线成功，就像我说的免杀和测试真的很重要，只好改成手动上传了，于是我们提出了远程协助查看服务器的要求，对方运维还真答应了

我第一回见到运维往自己的服务器上帮别人搭建环境（因为不具备jsp解析环境）然后再上传木马，甚至是XXXX来找他核实了都在边回XXXX的人消息边帮我们这边布置环境

以下是全过程，直接看截图

他不仅告知了端口和目录，甚至还想帮我们开代理

一边回复我们一边回复XXXX，然后默默动手给自己搭环境上传木马

XXXX的人说要去核实一下，但是他们这个核实的时间过程确实是有点长，甚至核实的方向还错了，光是问他们XXXX内部，这个运维早就已经把活干完了着急下班赶路了，于是成功拿下目标

（由于远程控制我们能看见对方屏幕，这个运维甚至还让我们截图到了一些平台的账号密码）

3.1.3 XXXX集团

通过打电话沟通的方式使对方确信自己为XX工作人员，以下发配合XX进行检查工作的通知为由加上了对方信息部门人员的微信，并且发送了木马成功上线

但是可惜马子应该没做好免杀掉线了

3.1.4 XXXX融媒体中心

思路一：通过网站查询到运营商，再次收集信息找到运营商联系方式

假装说自己是新来的运维之前的运维离职了，对接工作时没有给自己留账号密码，成功骗到账号密码

成功拿下管理员权限

思路二：

由于上一步成功假扮融媒体中心的运维，所以可以再次联系供应商，说XX下发了漏洞通报文件需要供应商这边的运维帮忙看看，之后加上供应商运维联系方式发送捆绑木马文件，成功上线供应商

3.1.5 XXXX职业技术学院

通过网上（公众号）搜索发现这个学校刚好近期在招聘教师

于是找到了报名的人事老师邮箱，捆绑好带有木马的伪造简历后成功上线

3.2 钓鱼失败案例总结

总有非常多的不确定因素导致钓鱼失败，最气的是好几家都已经成功了但是没时间了

而且不得不说有些单位在得知HW的消息后确实防范意识很强

以及我个人觉得，千万不要周末钓鱼，周末只会碰到不接电话的客服和不上班的运维，基本上可以断定什么都钓不上

3.2.1 XX网络

这个是已经钓鱼成功了，获得了对方公司董事长和运维的信任，对方已经愿意点开我们的木马，给我们账号密码或者进行远程控制的时间，但是由于服务器与XXXX有所关联，XXXX更改了所有企业的账号密码且HW结束前不愿意提供密码导致钓鱼失败（PS：XXXX真该死）

3.2.2 一家电力企业

这个我印象很深刻，由于是打电话沟通所以并没有截图

总结一下：打电话已经获取到对方运维信任，但是周末人家并不上班，服务器在野外基站上，且HW周一就结束所以来不及了（如果时间够且不出意外的话也是成功的）

3.2.3 医院医生

已经发送了捆绑木马文件，但是可能去问了同事有没有接到电话，然后得知了HW的情况，防范意识很高

3.2.4 一家企业的乙方技术支撑

同样也是按理来说算钓鱼成功，结果周末不上班，已经沟通好对方帮助我们修改平台的账号密码，但是得等到周一，工程师提供了默认账号密码，由于这次HW结束时间原因也钓鱼失败

3.2.5 失败的投标、简历投递

就很简单

某一家医院/公司，同事在公众号上看见了招标/招人的信息

但是打电话过去询问早就已经过时间了

3.2.6 某政府企业单位

这家是真的可以说是领导防范意识很强了

3.2.7 XXXXXXXX管理服务中心供应商

通过网上招投标文件找到供应商联系方式

但是这家钓鱼失败了，供应商的防范意识比其他家强的多

伪造XX人员也没成功上钩，需要联系甲方才愿意配合

4. 总结

4.1

广撒网多捞鱼，可以针对个人用户、组织员工甚至高级管理人员进行，目标范围非常广泛，我觉得钓鱼这件事就是越做越敢做，思路也会越来越宽，我自己从最开始钓鱼只能一家一家单位慢慢来，到HW最后一天同时钓三四家单位一起联系，在这个过程中我发现熟练了之后确实是可以好几家单位一起进行钓鱼的（我现在大概能同时联系五家单位还不会串频道，该给哪家说什么话的时候脑子十分清晰），效率会比一家一家钓更高，但是这个前提是在你钓鱼已经非常熟练的情况下，否则还是老老实实的一个个搞定，要是微信上发错聊天信息了那才是最难绷的

4.2

创造紧急情况，制造一种紧急或焦虑的氛围，比如说正在遭受黑客攻击、网站/平台存在漏洞，诱使用户迅速采取行动，不经思考地点击文件或提供个人敏感信息

4.3

钓鱼工作就是巧妙利用社会工程学的技巧，通过伪装成可信的实体或个人来欺骗受害者。攻击者会精心设计欺骗性信息，包括使用合法机构的标志或者假冒授权，制造与真实情况相符的背景故事，以增加可信度

4.4

钓鱼成功后记得进行维权

4.5

团队配合钓鱼时要做到信息互通、信息共享

4.6

除了测试木马是否免杀之外还要注意测试能否成功运行上线