下面这份整理,严格按照你所提供的课程录音笔记的先后顺序进行拆解和重组,没有任何省略、忽略、或遗漏。为了让内容的可读性更高,我将其划分为数个大的主题板块(“大块”)。在每个大块中,会保留直播原文的所有要点和细节,并在每个知识点后进行扩展说明。这些扩展结合了笔记原文及实际应用理解,帮助你从更系统、更深入的角度掌握全部内容。
一:整体进度与钓鱼动机
1. 本周主要任务
钓鱼(Phishing)
本周主要任务:钓鱼(Phishing)
原文要点:上一阶段结束后,发现现有线索不足,需要通过钓鱼来获取新的突破。
扩展:
在实际红队或渗透测试行动中,当公开业务面无法进一步渗透、或手头已知的用户名/密码等信息无法进一步利用时,往往会转向“社工+钓鱼”这样的攻击方式来突破。
钓鱼不仅局限于邮件,还包括钓鱼短信、钓鱼链接、微信钓鱼等,但“邮件钓鱼”依然是企业级最常见的场景。
本周直播性质与学习目标
原文要点:这周会围绕钓鱼展开,也会带一些相关技术。
扩展:
红队演练的核心目标:在接近真实环境的情况下,从对外业务面一直渗透到核心资产。
学员/听众:需要对企业业务面、域名信息、服务器信息进行综合分析,以构建出合理、真实、有欺骗度的钓鱼方案。
2. 为什么被“逼”到要做钓鱼?
要点与扩展:
现有资产与信息
拿到靶场中 “13号机器”的 DNS。
拿到“62号机器”的域名/网站后台管理权限(或部分信息),但内容有限。
有部分用户登录凭据,但不确定能否再次利用。
业务站点难再突破
原文中提到的站点:
231机器:零叉零security的门户网站其子域名 next cloud(私有云应用,可能存有敏感信息,但有双因素认证)
242机器:gigantic hosting 的业务站,只泄露了一个邮箱,没有更多可利用
扩展:
门户网站常见的渗透方式:常规漏洞(注入、上传、XXE等)若无进展,就很难再深入。
双因素认证(2FA)使得即便拿到用户名和密码也无法直接登录,需要更多手段(中间人、绕过或社工)。
被迫转向钓鱼
原文要点:现有信息无法带来更多突破,所以不得不走“钓鱼”之路。
扩展:
大多数红队实际项目中,“拿到一定情报”却无法直接拿下时,转向社工攻击非常常见。
“钓鱼”本身需要条件:比如有效邮件服务器、能稳定发信的 SMTP、对目标公司业务行为和内部人员信息的掌握等。
3. 能不能钓鱼?前置思考
要点与扩展:
如何搭建钓鱼邮件环境?
原文要点:
如果要自行搭建 SMTP 服务器,需要注意隐匿风险、域名实名、垃圾域名被屏蔽等现实问题。
靶场里已经有
74机器的 25端口可作为 SMTP 服务器的线索。
扩展:
现实中,很多红队钓鱼并不会从零开始搭建邮件服务器,而是利用已知“被攻陷的邮件服务器”或“高信誉度”第三方服务或某些被攻陷的企业邮箱。这样更不容易进垃圾箱。
在课程/靶场中则可以利用模拟环境中的“74 号 SMTP”来演示如何从内部服务器发信。
钓鱼与证书 (TLS/SSL) 以及其他基础设施
原文要点:
62号机器的一些证书管理功能,是否可以与钓鱼结合?
有些钓鱼需要 HTTPS 链接或更高级的伪装,会涉及域名证书。
扩展:
在现代安全防护场景下,绝大多数企业要求外部访问使用 HTTPS,这意味着如果你要做伪造页面(钓鱼页),往往也要配置证书以免被浏览器或安全网关标记风险。
在严格的公司环境中,如果邮件中包含非 HTTPS 链接,或者签名不正确,可能被拦截或直接警告。
邮件钓鱼相关的底层防御机制枚举
原文要点:
SPF、DKIM、DMARC 等机制决定邮件能否顺利进收件箱。
需要验证 74 号 SMTP 是否有相应防御策略或是否可以自由发件、是否被列入黑名单等。
扩展:
进行钓鱼前,务必做完对目标企业的邮件防御机制和策略的“枚举+判断”,否则发件后会被退信或进入垃圾箱。
4. 后续整体安排
要点与扩展:
钓鱼专题的主要技术和流程
原文要点:
钓鱼本身要先行:信息收集 → 服务器/邮件策略枚举 → 搭建钓鱼环境 → 制作诱饵。
工具:GoPhish、Modlishka(Evilginx) 等反向代理钓鱼框架。
诱饵研发、免杀、后门制作等工作量很大。
本周与下周的课程进度
钓鱼理论 → 钓鱼实践 (邮件枚举+发送测试) → goPhish 初探 → Evilginx(或Modlishka) 透明代理钓鱼 → 钓鱼后获取 Cookie/Session → 社工取证。
SQL 注入专题收尾
原文要点:SQL 注入系列内容还剩下一部分没讲完,比如 NoSQL、MongoDB、Cassandra 以及 WebSockets 下的注入场景等。
扩展:
后续如需深度学习,可自行联系或搜索相应课程/靶机继续拓展。
当前红队进程已不再主要靠注入手段,而是需结合社工攻破新环节。
二:邮件钓鱼的前置基础
1. 为什么要掌握邮件协议与服务器结构
原文片段(红队笔记 14:00 ~ 15:12 / 16:49 ~ 18:00 等大量分散处综合)
钓鱼不是仅仅做个恶意附件、写封邮件就完事了,随着安全策略强化,邮件的发送路径、服务器防护、SPF……都决定发件能否成功……
要点与扩展:
邮件系统基础结构
邮件系统 = 客户端(MUA) + 邮件服务器(MTA) + 传输协议(SMTP/POP3/IMAP)。
红队要想成功发钓鱼邮件,必须先保证能连接到正确的 SMTP 并通过 SPF 等策略校验。
SPF/DKIM/DMARC:三大防钓鱼核心
课程特别强调 SPF,因为这是最常见、最基础,也最影响是否能进收件箱的防护机制。
DKIM:基于域名密钥签名来验证邮件来源的完整性。
DMARC:基于 SPF 和 DKIM 的进一步策略集合,用来决定最终如何处置不合规邮件(垃圾箱、退信、直接拒收等)。
2. 常见邮件分类与钓鱼形式
原文片段(红队笔记 25:08 ~ 26:25 等处综合)
钓鱼分很多种:普通群发、鱼叉式、高管钓鱼(whaling phishing)……还有短信、微信、语音钓鱼……
要点与扩展:
分类角度:
目标角度:鱼叉式(Spear Phishing)针对性更高;普通群发属于撒网式。
技术角度:克隆钓鱼(Clone phishing),商业电邮入侵 (BEC),钓鱼网站,社交媒体钓鱼等。
流程管理角度:对不同目标(如高管)需要不同的社工话术与诱饵设计。
应用场景:
外部仿冒:如仿冒知名银行发送对账单、仿冒客户或供应商发送邮件。
内部冒充:红队已拿到部分内网权限后,冒充公司内部邮箱更容易得手。
3. SPF / DKIM / DMARC 防御机制详解
原文片段(红队笔记 25:46 ~ 31:03 / 42:31 ~ 43:14 等大量段落)
SPF 是发送者策略框架;DKIM 是基于域名公钥签名;DMARC 则是基于 SPF/DKIM 的处置机制……
要点与扩展:
SPF(Sender Policy Framework)
核心作用:限定“哪些邮件服务器(IP或域)有权代表该域名发邮件”。
SPF 记录:发布在域名 DNS 的
TXT记录中。若邮件来源服务器不在 SPF 记录里 ⇒ 最常见结局:进垃圾箱、被退回或直接被拒收。
对于攻击者:如果你能控制目标企业 SPF 中罗列的一台或几台服务器,就能以该企业名义成功发信!
DKIM(DomainKeys Identified Mail)
基于密钥签名:在邮件头部或底层加签,收件方校验数字签名确定此邮件确实来自对应域名的服务器。
解决了 SPF 在“转发”场景下的不足。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
整合策略:提供“若不符合 SPF/DKIM 该怎么处置”的策略,比如直接拒绝/进入垃圾箱/仅标记。
红队需要:了解 DMARC 策略强度,判断自己发送的仿冒邮件是否可能完全被拒收。
4. 邮件系统的核心协议与组件
原文片段(红队笔记 31:03 ~ 32:05 / 41:55 ~ 43:58 等综合)
电子邮件非常古老但依然重要;客户端、服务器、协议三大部分……
要点与扩展:
常用端口与协议
SMTP:默认端口 25,用于发送邮件(发件协议)。
POP3:默认端口 110,用于接收邮件(拉取式)。
IMAP:默认端口 143,用于多设备同步、管理邮件。
SSL/TLS 加密端口:465、995、993 等,也有 STARTTLS 之类的机制。
结构化字段
一封邮件通常包含:
头部(发件人、收件人、主题、DKIM签名等)、正文、附件。
MTA / MDA / MUA
MTA(Mail Transfer Agent):负责邮件传输与转发。
MDA(Mail Delivery Agent):服务器内部邮件分发到收件人邮箱的机制。
MUA(Mail User Agent):客户端(如 Outlook、Foxmail、webmail 界面等)。
三:SPF 记录查询与实践细节
原文片段(红队笔记 42:31 ~ 43:14 / 46:20 ~ 52:24 / 54:57 ~ 58:36 / 01:11:13 ~ 01:26:43 等大量关于实际查询演示)
如何查询 SPF?如何通过 SPF 记录发现企业真实的邮件服务器列表?……
1. SPF 记录及其在 DNS 中的存储方式
要点与扩展:
SPF 语法
在 DNS 的
TXT类型记录中,包含:v=spf1 ... -all或~all等策略声明。-all表示强制:凡不在列出的服务器之列,全部拒收。~all表示软性:凡不在列出的服务器之列,标记为可疑或减少信任度,可仍被投递。还可能出现
+all(基本不常见,会允许所有服务器发件,非常危险)。
include 语句
SPF 记录往往会写成类似:
v=spf1 include:_spf.qq.com -all表示:本域名最终会调用
_spf.qq.com里的记录。通过一层层
include可以解析出很多 IP 段或服务器域名列表。
查询方式
使用
nslookup/dig/host等命令行工具:nslookup -type=TXT example.com 1.1.1.1dig TXT example.com @1.1.1.1
注意:有的 DNS 会有缓存、轮询、或不支持 ANY / AXFR(区域传输),需要多次或换不同权威 DNS 服务器进行查询。
2. 实操查询示例
原文片段中多次演示了查询 QQ.com、163.com、Gmail、阿里云、华为、小米、联想等域名的 SPF 记录
要点与扩展:
QQ.com
通过
nslookup -type=TXT qq.com 1.1.1.1得到:v=spf1 include:spf.mail.qq.com -all再查
spf.mail.qq.com→ 出现更深层的 “网段列表” 或ip4:.../24之类说明。
163.com
类似:
v=spf1 include:spf.163.com -all解析后也能得到大量 IP 段。
Gmail
常见看到
~all(波浪号)的场景,表示软性拒绝。
阿里云 / 华为 / 小米 / 联想
也都有各自的 SPF 文本记录,有时会把网段直接写在最外层,也可能层层 include。
有的写
-all(严格模式),有的写~all(软性模式)。
要点小结:
对红队而言,如果拿到某个在 SPF 列表中的服务器权限,就可以直接发“伪造”源域名的邮件;反之,很难绕过强 SPF。
若 SPF 中是
~all,则可能有可乘之机,发件不会直接被拒收,但仍会结合 DMARC/DKIM 进行判定。
3. SPF 记录策略关键字符
原文片段(红队笔记 01:57:58 ~ 02:02:28)
各种-all、~all、+all的含义;以及include、a、mx、ip4等具体语法说明……
要点与扩展:
常见机制
-all→ 强制拒收不在列表内的服务器~all→ 软性拒收?all→ 中性+all→ 接受所有(几乎不会用)include:spf.somewhere.com→ 引入其他域的 SPF 规则a/mx/ip4→ 指定服务器或 IP 段
附加说明
若要编写自家企业邮箱 SPF,需要根据自己邮箱服务器 IP、MX 记录来写,否则容易导致对方无法接收或员工对外发的邮件被拒。
四:DNS 相关补充与在钓鱼中的作用
原文片段(红队笔记 01:26:21 ~ 01:30:53 / 01:32:45 ~ 01:36:45 等部分)
DNS 记录除了 SPF,还包括 SOA、CNAME、MX、NS 等;与红队信息收集的关系……
1. DNS 记录类型回顾
要点与扩展:
A 记录(Address Record)
域名 → IPv4 地址。
AAAA 记录
域名 → IPv6 地址。
CNAME 记录(Canonical Name)
一个域名别名指向另一个域名。
MX 记录(Mail Exchange)
指明当前域的邮件服务器地址。
NS 记录(Name Server)
指明当前域或子域由哪些权威 DNS 服务器负责解析。
SOA 记录(Start of Authority)
指明域的权威信息:主DNS、联系邮箱、序列号、刷新/重试/过期时间等。
SOA 重要性
原文要点:SOA 是 DNS 权威的起始点,包含主 DNS、联系邮箱(以
.代替@)。红队应用:获取到该记录可知是否有多个 DNS Server;有时还能看出内部的维护邮箱(如
webmaster.example.com.→webmaster@example.com),有助于社工。
区域传输(Zone Transfer)
原文要点:大多数 DNS 不再允许匿名 AXFR (区域传输),只能针对内网 DNS、或配置不当的服务器。
扩展:若成功进行区域传输,可一次性获取全部子域信息、TXT、MX 等记录,对红队非常有利。
五:课程收尾、钓鱼后续与其他话题补充
原文片段(红队笔记 02:16:45 ~ 02:28:36)
这里老师在总结并过渡到之后的实践部分,也提到 OSEP、CRTO 等认证话题……
1. 实践安排
本周或下周将实操:
在靶场环境中,用 74 号机器上 25 端口 SMTP + 13 号机器 DNS 操作 + 自建邮件域名,测试能否成功向外部发信。
使用 GoPhish 工具:管理和批量发送钓鱼邮件的框架,但需要自己搞定最核心的技术,如绕过 SPF、制作页面等。
使用 Modlishka 或 Evilginx(反向代理钓鱼):更高级,可以透明地获取受害者输入的账号、Cookie,从而绕过双因素认证。
右耳(恶意附件 / Payload / 免杀)
原文要点:制作免杀载荷、结合社工方法让对方执行,是极为繁琐的一环,需要扎实的二进制、Shellcode、AV/EDR 绕过等知识。
实际课程仅演示初步思路,更深入要花很长时间研究。
2. 证书、考试话题 (OSCP, OSEP, CRTO, CRT-P等)
原文片段(红队笔记 02:26:35 ~ 02:28:36)
提到有学员要考证书之类话题,如 OSEP、CRTO……这些与课程本身知识体系也有关联。
CRTO:在国外部分厂商或外企招聘中认可度较高,涉及红队攻击技术,包括钓鱼/反向代理等。
OSEP:Offensive Security 的进阶渗透证书,更注重恶意载荷编写、免杀和内网横向技巧。
老师提醒:无论考什么证书,最重要还是扎实掌握底层原理与实践能力。
总结性大块:从头到尾的知识体系大串联
为了让你能够更系统地理解这份完整的课程笔记,我们再做一个“汇总整理”,把本次提到的所有知识点,按逻辑层次梳理成一个清晰的框架。以下纯属从笔记中提炼与拓展整合,不做任何遗漏:
红队行动阶段性复盘
前期:信息收集、SQL 注入与Web漏洞利用、拿到部分DNS或后台管理。
受阻:目标站点业务面,双因素验证或防御严格,导致进一步渗透难。
转向钓鱼:利用社工或人性漏洞,尝试从员工侧挖突破口。
邮件钓鱼必要条件
能发出邮件:必须有可用的 SMTP 服务器(或可控制目标已有服务器并符合 SPF)。
不被标为垃圾:必须研究目标的 SPF、DKIM、DMARC,对症下药。
具有欺骗性:对目标内外部人员信息要充分掌握,保证社工成功率;可利用钓鱼平台 (GoPhish / Modlishka / Evilginx) 提升“过程管理”和“技术绕过”。
SPF 及 DNS 查询方法
SPF 原理:DNS TXT 里声明哪些服务器IP或域名可以代表该域发信。
查 SPF:
nslookup -type=TXT domain.com @DNS_server;深入 include 记录,获取真实IP/网段。SPF 策略:
-all、~all、?all、+all;包含ip4、a、mx、include等指令。结合 DKIM / DMARC:弥补 SPF 在转发场景下的不足,并确定不合规邮件如何处置。
大企业邮箱示例
QQ / 163 / Gmail / 阿里云 / 小米 / 华为 / 联想……
通过一层层 include,能看到大段 IP 地址;也可以看硬性或软性拒绝策略。
DNS 其他记录补充
SOA 记录:掌握域名版本、权威服务器、联系邮箱等信息。
NS / MX / CNAME / A:辅助红队分析时确认具体环境架构、寻找可能的真实 IP(绕过CDN)、潜在子域等。
实战与后续
实际发送测试:要亲手测试能否进目标收件箱,必要时调整服务器 IP、域名、邮件内容格式等。
防护机制绕过:例如通过中间人获取 Cookie (Modlishka/Evilginx);或使用特制恶意附件绕过终端杀毒。
结合社工:高仿邮件模板、冒充公司高管或官方平台等;必要时利用转发或内部邮件链扩大信任度。
结语
以上即为你所提供的完整课程录音笔记的知识点重组与详细拓展,无一遗漏,并按课程推进的先后顺序进行体系化输出。每个关键点都在文中标注了原文大致出处,并进行了补充说明或案例扩展。你可以据此在后续的钓鱼实践中一步步展开操作,或在内网环境中继续进行深入研究。祝你在红队演练和相关学习中一切顺利!
123
-.-
评论区