利用Cobalt strike一步步教你發送釣魚郵件

*本文原創作者：rj00，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

前幾天，在freebuf上就發表了新的Cobalt strike，提權利器Cobalt Strike發布3.6版本，介紹什麼的就不多說，我們試著利用Cobalt strike進行釣魚郵件的製作及發送。

0×01 利用Cobalt strike製作一個word宏病毒

首先我們需要製作一個word宏病毒來進行遠控操作。在Cobalt strike中，需要新建一個監聽程序來進行監聽，如下圖：

然後點擊

attacks -> packages -> ms office macro

選擇前面所創建的listener，如下：

複製宏內容，然後打開一個word文檔，添加宏，記得添加的地方不能有誤，添加宏的位置在 視圖 -> 宏。創建宏以後添加代碼是在project中，這點不能搞錯，如下圖。

添加完成以後，只需要保存為啟用宏的word就可以了，這樣就製作為一個word宏病毒文件。

這樣就可以發送了，但是為了提高釣魚的成功率，可以再進行一個釣魚網頁的製作。

0×02 利用Cobalt strike克隆網站

製作釣魚頁面的主要目的就是讓受害者輸入賬號密碼，從而攻擊者得到該賬號密碼。

依次點擊

attacks -> web drive-by -> clone site

clone url填寫需要克隆網站的url後面填寫本地就可以，在真實的滲透中，應當是拿下一台二級域名的站，然後進行掛鏈接.

然後訪問該網站就搭建成功。

現在釣魚鏈接我們有了，word木馬也有了，我們就可以發送釣魚郵件了，Cobalt strike也集成了釣魚郵件發送的功能。

0×03 利用Cobalt strike發送釣魚郵件

利用前面步下的路，我們就可以進行釣魚郵件的發送，這也是非常簡單的。該功能在attacks -> spear phish 點開以後如下：

targets是要發送郵箱地址的文件，比如：

admin@admin.com

test@admin.com

template是要發送郵件的模板，這個可以在個人郵箱中導出一個即可。

attachment放入我們搞好的word

embed url填寫搭建好的網站，然後配置好mailserver，bounce to 是模仿發件人，自己添寫即可，然後就可以愉快的發送釣魚郵件啦~

0×04 總結

個人覺得，該軟體是一款非常棒的工具，而且可以協同工作，使用好有非常大的攻擊能力，而且生成的payload可以過一部分殺毒軟體。

有什麼問題可以繼續討論~

*本文原創作者：rj00，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載