探索企业安全新维度：O365-Doppelganger

探索企业安全新维度：O365-Doppelganger

项目介绍

在红队行动中寻找有效的凭证捕获工具至关重要，这就是O365-Doppelganger的诞生背景。它不是一个全面的钓鱼工具替代品，而是专为快速方便地收集用户凭证而设计的一个实用脚本。这个项目源于作者多次红队渗透测试中的实战经验，用于获取凭证并利用它们进行横向移动。

项目技术分析

O365-Doppelganger 使用Go语言编写，其主要功能包括：

1. 模拟O365门户：通过自定义的HTML（index.html）提供一个看起来真实的登录界面。
2. 日志记录：捕获用户的网页活动，并将凭证单独存储在服务器的日志文件中。
3. 文件返回：在成功捕获凭证后，可以向用户提供一个合法的文件下载（如HTA、ISO或MSI等），只需要修改代码指定要返回的文件名。
4. 邮箱验证：使用正则表达式检查输入的用户名是否符合特定公司域名，增加欺骗性。

此外，脚本还包含了防止使用网络加速工具绕过邮箱验证的策略，增强其安全性。

项目及技术应用场景

对于网络安全专业人员和红队成员来说，O365-Doppelganger 是在以下场景下的理想选择：

1. 渗透测试：测试组织的安全防线，找出潜在的薄弱点。
2. 恶意行为模拟：了解员工如何应对类似的钓鱼攻击，提高安全意识。
3. 横向移动研究：捕获凭证后，可进一步探索内网，进行权限提升。

项目特点

• 易于定制：轻松替换HTML文件以模仿任何目标网站，更改公司名称以增加真实性。
• 灵活的文件响应：允许配置返回给受害者的文件类型，使攻击更具说服力。
• 严格的身份验证：正则表达式确保只有有效邮箱才能通过验证，提高欺骗的成功率。
• 强大的日志系统：记录用户活动和捕获的凭证，便于后期分析。

总结，O365-Doppelganger 是一种精心设计的红队工具，旨在帮助安全专家进行更高效、更隐蔽的渗透测试。请注意，此项目应在合法授权和道德的前提下使用，以推动网络安全的进步，保护组织免受真正的威胁。