文章总结： 文章分享红队针对教育与政务行业的钓鱼实战经验。教育行业建议选择高校靶标，利用VPN和新生群信息搜集突破，快速抓取凭据维持权限，并通过修改服务器附件实施水坑攻击。政务行业因国产化高且不出网，建议迂回攻击二三级单位。邮件发送建议使用网易邮箱并单发规避垃圾箱拦截。 综合评分： 85 文章分类： 红队,社会工程学,内网渗透

• 运气比较好，运维安全意识比较低的资源会给ALL

JY行业的网络状况

我目前遇见的JY的高校重要核心业务的网络情况基本上都是可以出网的，没有碰见不出网的情况，所以基本上不用考虑机器拿下了死活不出网，如果存在这种现象，基本上不需要怀疑其他的，只需要怀疑是不是自己的服务器被打标签之类的，因为目前一些设备的阻断是基于情报，各大厂商的服务器都是有一次更换公网地址的机会的，不过现在的状况是就算换了ip也可能依旧被打标签。

信息搜集关键点

• 信息搜集从QQ群来、二手闲置交易群来效率最高。尤其在用学号等，不过建议搭配社工Ku使用，手机号等结合使用效果会更好。

这里可利用群进行精准钓鱼，最好的选择是新生群，避免学生离校实习等情况，容易打偏。

• 一般高校的VPN绑定都是学号，配合用户的口令复用即可突破边界
• 高校小小程序和定制化开发的app，这里需要注意的是部分高校的app绑定的是手机号而不是学号，使用web端的口令和密码是无法进行登录的。这里的信息搜集仅针对部分高校的部分应用有效
• 不要忽略高校表白墙+新生群，这里是可以确定所谓的校园宽带是不是真正的”校园网“，因为确实发现部分学校的校园网比较假，是运营商的网络，跟学校内网业务是真正意义上的两张网

事实上你可以永远相信一个高校的万能墙和表白墙。

权限维持

对于钓鱼高校用户成功率可以说是最高的，但是尤其需要注意的有两点

• 手速要快，权限维持要尽快做好，包括定时任务。因为高校用户的终端太容易关机了。在没有获取稳定的隧道的条件下，手速一定要快，这样才能实现可持续。

• 确定好内网业务段，所以密码抓取的速度要快，浏览器的历史记录以及存储的账号密码是实现进一步攻击的有效保障。

横向

针对于高校来讲，用户的体量比较大，之前跟多个高校的网络中心其实是有过交流的，对于高校来说，探针以及联动策略不可能做的很精细化，容易影响业务，另外针对用户的ip地址是不会IP和MAC绑定的，校园网顶多可以精确到学号手机号，阻断封禁时间也是比较短的，所以钓鱼获取到机器后直接一把梭就ok，不用担心溯源的问题，毕竟溯源的难度大周期性长。当然获取内网服务器后横向还是要注意规避流量探针的。

内网获取业务系统的权限可以注意配合使用水坑攻击

这是在一次行动中获取的答题系统，通过某个漏洞获取了系统的权限，通过CS上线后进行水坑攻击，修改服务器中的附件，进行钓鱼。这种利用水坑横向钓鱼更加精准，并且降低了上钩即被发现的风险。

邮箱钓鱼选择

我目前钓鱼的话基本上是会选择两种邮箱，注意配合使用上一篇提到的签名

• 网易邮箱

QQ和网易邮箱，群收件人能看到其它收件人

• QQ邮箱

（2024年底测试）QQ邮箱进行批量发送，邮件在60封左右的时候，邮件已进垃圾邮件，但是网易进行发送的时候，批量发送，一次发送80封的时候邮件还没有进入垃圾邮件。所以在发送钓鱼的时候注意，单次单发，且不同的用户尽可能发送不一致的内容以及不同哈希的附件，这样成功率稍高一点儿。

ZW行业

其实ZW基本上没啥说的，钓鱼成功的概率太低，主要原因有两点

• ZW不出网
• 国产化现在太高了，基本上大一点儿的单位国产化概率有百分之八九十

突破口

所以现在基本上针对ZW的钓鱼基本上Tricks有一个个

• 目标转向二三级单位，进内网容易且钓鱼成功率高

风险

不是说二三级单位出网，而是二三级单位的网络规划以及管理相对来说比较薄弱，且二三级单位的国产化没那么高，有的甚至没有，从这一点儿迂回横向很好使，但是风险是容易找不到从二三级到一级单位的链路。

原文链接：https://zone.huoxian.cn/d/2965

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗《谈一谈红队钓鱼中的姿势（中）》