文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

使用CredSniper窃取红队行动中的2FA令牌

CredSniper通过克隆目标熟悉的认证门户,诱骗受害者主动提交凭证和2FA令牌。HTTPS的必要性使用HTTPS不仅保护目标凭证不被非安全站点窃取,还能避免克隆门户因质量低劣而被识别为钓鱼站点。...例如,克隆GSuite门户时,Chrome浏览器会警告目标站点可疑,而HTTPS能解决此问题。...CredSniper的核心思想是:在后台与真实门户交互时同步获取目标输入的2FA短信令牌。模板采用Jinja2语言,支持动态插入用户数据(如{{ username }})。...", "api_token": "随机字符串"}简易安装克隆仓库: $ git clone https://github.com/ustayready/CredSniper$ cd CredSniper...,关键参数包括:--module:指定钓鱼模块(如gmail)--twofactor:启用2FA钓鱼--ssl:启用Let's Encrypt SSL--final:设置钓鱼后跳转URL凭证存储文件:.

25610
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Tycoon 2FA钓鱼套件掀起会话劫持风暴,全球超6万账户沦陷

    当用户访问钓鱼链接时,实际连接的是这个代理;而代理则同步与真实的Microsoft或Google服务器通信,形成“用户 ↔ 钓鱼代理 ↔ 真实服务”的三方链路。...(1)Token绑定(Token Binding)与客户端证明现代身份协议如OAuth 2.0 DPoP(Demonstrating Proof-of-Possession)和FIDO2支持将访问令牌与客户端公钥绑定...以DPoP为例,每次API请求需附加一个JWT证明:GET /mail HTTP/1.1Host: outlook.office365.comAuthorization: Bearer token...即使用户在钓鱼站login-microsoft.fake上操作,生成的断言也无法被login.microsoftonline.com接受。...而抵御Tycoon 2FA这类高级威胁的答案,不在更复杂的密码,而在更智能的信任机制——让身份,真正属于人,而非数据包。编辑:芦笛(公共互联网反网络钓鱼工作组)

    30410

    10万 npm 用户账号信息被窃、日志中保存明文密码,GitHub安全问题何时休?

    5 月初,GitHub 宣布在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证(2FA),否则将无法正常使用该平台。...促使 GitHub 做出这项决策的直接原因便是,未启用 2FA 的开发人员帐户去年遭到入侵,导致 npm 包被接管。...GitHub 内部研究表明,目前只有大约 16.5% 的活跃用户(大约六分之一)对其帐户启用了增强性的安全措施,只有 6.44% 的 npm 用户启用了 2FA。...git 代码提交会维护已添加和删除内容的历史记录,从而使敏感数据永久保存在分支上。当分支被合并和再分叉时,潜在的数据或基础设施泄露问题可能会呈指数级增长。...及时更换 SSH key 和个人访问 token GitHub 访问通常使用 SSH 密钥或个人用户令牌 (代替密码,因为已启用了双因素身份认证) ,开发者可以定期更新密钥和 token,来降低密钥泄露造成的任何损失

    2.5K20

    Rust生态首发时刻的钓鱼攻击与供应链防御机制研究

    当前主流防御措施——如反钓鱼培训、邮件过滤规则——在此类高度情境化攻击面前效果有限。开发者在完成发布操作后收到“安全警报”,极易产生紧迫感而跳过常规验证步骤。...整个过程可在3–5分钟内完成,确保邮件在开发者仍处于“发布后检查”状态时送达。...2.4 供应链污染路径一旦账户被接管,攻击者可执行以下操作:发布新恶意版本:如my_crate v1.0.1,内含后门代码;篡改现有版本:若crates.io未启用不可变版本(immutable releases...3.3 认证体系:会话令牌的脆弱性尽管GitHub支持双因素认证(2FA),但若用户使用基于TOTP或短信的2FA,攻击者仍可通过钓鱼页同步请求2FA码(“双重钓鱼”)。...更严重的是,即使启用了2FA,GitHub的个人访问令牌(PAT)或OAuth令牌一旦被窃(如通过浏览器Cookie或恶意扩展),仍可绕过2FA直接操作API。

    29810

    如何在Ubuntu 18.04上配置多重身份验证

    在此步骤中,除常规身份验证方法外,您还将更新Ubuntu的配置以要求2FA令牌。 此时您有两种不同的选择: 每次用户登录系统时以及每次用户请求sudo权限时,您都可以要求2FA。...换句话说,已配置2FA的用户将需要在下次登录时输入身份验证代码,而未运行google-authenticator命令的用户将只能使用其用户名和密码登录,直到他们配置为止2FA。...您现在已成功配置Ubuntu,以便在登录期间或在系统上执行的每个经过身份验证的操作时提示您输入2FA。 您现在已准备好测试配置,并确保在登录Ubuntu安装时提示您输入2FA。...如果您通过common-auth文件启用了2FA,则会在每次登录时提示您输入sudo权限并请求sudo权限: Outputsammy@your_server_ip: ~# sudo -s sudo password...当您第一次配置2FA时,您有几个选项可确保您可以从锁定中恢复: 将您的秘密配置代码的备份副本保存在安全的地方。 您可以手动执行此操作,但某些身份验证应用程序(如Authy)提供备份代码功能。

    3.7K30

    21条最佳实践,全面保障 GitHub 使用安全

    可以在 CI/CD 流水线中使用 git-secreits 等工具。另一个方法是使用机密和身份管理工具,如 Vault 和 Keycloak。 ​ 2....2FA 在登录 GitHub 时增加了一层额外的安全保护,并且可以通过组织的设置在组织级别强制执行。 ​ 当保存设置后,系统可能会提示有关未激活 2FA 的个人详细信息。...这意味着,企业可以限制用户仅使用组织的帐户登录,而不是使用个人 GitHub 帐户。这能够有效缓解在向 GitHub 帐户授予可访问性时可能发生的潜在安全风险。 ​ 7....可以将 Git 设置为通过 GPG(GNU Privacy Guard)对提交进行签名,并在 git 配置中使用私有密钥配置提交。完成此操作后,您可以将 GPG key 添加到 GitHub。...启用 git 分支保护 分支误删或 git squash 合并可能会导致数据丢失,或者通过引入漏洞在代码中造成数据泄露。

    3.1K40

    Tycoon 2FA钓鱼平台技术解构与执法阻断机制研究

    然而,这种模式在面对启用了MFA的系统时显得束手无策,因为攻击者仅获取了第一因素(密码),无法通过第二因素(如短信验证码、TOTP令牌或推送通知)的验证。...当受害者点击钓鱼链接时,请求首先到达Tycoon 2FA控制的代理服务器。该服务器随即向真实的目標服务(如Microsoft 365登录页面)发起请求,并将真实页面的内容实时渲染给受害者。...从技术实现细节来看,Tycoon 2FA平台 likely 使用了高度定制化的开源代理工具(如Evilginx或Modlishka的变种),并进行了大规模的工程化封装。...过去,攻击者可能在获取密码后卡在MFA环节,而现在,这一障碍被彻底移除,使得后续的恶意行为变得畅通无阻。...反网络钓鱼技术专家芦笛在总结此案时强调,真正的安全不在于堆砌更多的认证步骤,而在于建立基于零信任原则的动态验证体系,以及提升全社会的数字素养。

    18810

    面向PyPI生态的钓鱼攻击演化与开发者身份防护机制研究

    现有防御措施多聚焦于包内容扫描或发布后监控,对前置的身份窃取环节缺乏有效干预。尤其当开发者习惯通过邮件链接直接操作账户时,风险敞口进一步扩大。本文旨在填补这一空白。...2.2 邮件模板与社会工程话术钓鱼邮件采用高度标准化模板,核心要素包括:紧迫性威胁:“您的账户因异常活动被标记,48小时内未验证将永久停用”;合法性暗示:使用PyPI官方配色、Logo及页脚声明;操作诱导...此外,多数开发者未启用2FA,或使用短信验证码(易受SIM交换攻击),使得单凭密码即可完成账户接管。3.3 组织治理缺失在企业环境中,开发者账户常为个人注册,未纳入统一身份提供商(IdP)管理。...4 防御体系构建4.1 个人层:强化身份凭证实践强制启用2FA:推荐使用TOTP(如Google Authenticator)或FIDO2安全密钥;全面迁移至API Token:通过PyPI账户设置生成项目专用...5 防御有效性评估我们在模拟环境中部署上述防御措施,测试对已知钓鱼变种的拦截能力:防御措施 拦截率 用户摩擦度仅启用2FA 62% 低使用API Token + 域名脚本 89% 中组织IdP集成 +

    19810

    针对PyPI维护者的钓鱼攻击与Python软件供应链安全防护机制研究

    邮件正文声称用户账户存在异常登录行为或违反社区政策,若不在24–48小时内完成“安全验证”,账户将被永久停用。此类话术精准利用了维护者对项目中断的担忧心理。...尽管PyPI自2023年起强制要求新账户启用2FA,但大量历史账户仍仅依赖密码或SMS验证,后者易受SIM交换攻击影响。...3.2 现有安全机制的局限性尽管PyPI已实施多项安全措施,如强制2FA、API token细粒度权限、可疑活动告警等,但在面对社会工程攻击时仍显不足:2FA依赖软令牌:多数用户使用Google Authenticator...实施最小权限API Token维护者应避免使用主账户密码进行自动化发布,而应创建具有明确作用域的API token。...__password: pypi-AgEIcHlwaS5vcmc... # 仅限上传指定项目Token应限制为单一项目、仅允许上传操作,并定期轮换。

    38310

    GitHub设备码授权机制下的新型钓鱼攻击研究

    全文强调技术严谨性与实践可操作性,避免泛泛而谈的安全倡议。..."authorization_pending":time.sleep(5)else:print("Error:", data)break获取令牌后,攻击者可执行:克隆所有私有仓库:git clone https...实验环境:攻击机:Ubuntu 22.04,Python 3.10;目标账号:新建GitHub个人账号,启用2FA;测试仓库:包含敏感文件secret.txt及Actions workflow。...即使目标账号启用2FA,因设备授权流本身不要求二次验证(仅首次登录需2FA),攻击仍可绕过。结论:该攻击在技术上完全可行,且对常规安全措施具有强规避性。...OAuth:对于自动化任务,优先使用Personal Access Token(PAT)并限定仓库与权限;启用额外审计日志:开启GitHub的audit log功能,追踪令牌使用记录。

    40810

    GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥,今晚0点执行

    萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAI 还在用账户+密码对GitHub上的Git操作进行身份验证? 赶紧整个token(令牌)或SSH密钥吧!...8月14号0点(8月13日9:00 PST)开始,在GitHub上执行Git操作就会导致失败。 GitHub官方表示,这一举措是为了提高Git操作的安全性,防止密码撞库等事情发生。.../服务 这些用户不会受影响: 已经采用token或SSH密钥方式验证,即启用双因素身份验证(2FA)的用户 使用GitHub Enterprise Server本地产品的用户(该产品尚未对此进行更改)...使用GitHub App的用户,此前已经不支持账密验证 当然,大部分经常使用Git的用户应该都已经知道这件事了。...在今年6月30号(15~18时)、7月1号(0~3时)、7月28号(15~18时)和29号(0~3时),GitHub已经针对这件事进行了预演,所有Git操作都被要求用token或SSH密钥验证。

    2.7K30

    Tycoon 2FA 钓鱼套件的 AitM 攻击机制与防御对策研究

    2.1 反向代理中继机制攻击者首先注册一个高仿域名(如 micros0ft-login[.]com),并在其上部署反向代理脚本。当受害者点击钓鱼链接后,浏览器请求被导向该代理服务器。...2.2 会话 Cookie 与身份令牌的窃取由于代理全程参与 TLS 握手后的应用层通信,其可完整记录服务器返回的 Set-Cookie 头部及后续的 OAuth 令牌(如 id_token、access_token...Token 绑定(Token Binding):将访问令牌与 TLS 会话绑定,防止令牌在其他会话中复用;实施连续认证(Continuous Authentication):在敏感操作(如转账、导出数据...5.2 网络层检测与拦截TLS 指纹异常检测:AitM 代理常使用非标准 TLS 库(如 Python requests、Node.js http-proxy),其 Client Hello 特征与真实浏览器存在差异...:当检测到同一账户在短时间内从相距甚远的地理位置登录时,自动冻结会话并通知用户。

    30410

    伪装成“安全更新”的致命陷阱:MetaMask用户遭遇新型2FA钓鱼攻击,非托管钱包安全边界再受挑战

    第二步:伪造“安全中心”页面,植入2FA假象受害者点击链接后,会被导向一个高度仿真的“MetaMask Security Center”页面(例如:https://metamask-security-update...随后出现一个两步表单:输入邮箱或钱包地址(用于后续社会工程);“输入您的2FA验证码” —— 此处实为障眼法,下方紧接着一行小字:“若未启用2FA,请输入12词助记词以升级安全机制”。...DigitalOcean按小时计费实例);每24小时更换域名,利用DGA(域名生成算法)批量注册相似域名(如metamask-verify[.]xyz, metamask2fa[.]live等)。...第二层:技术工具辅助启用浏览器反钓鱼插件:如MetaMask自带的Phishing Detection(基于Ethereum Phishing Detector列表)、Netcraft Extension...例如:不应在前端页面显示“请输入助记词”字段;所有敏感操作应通过钱包原生签名请求(如eth_signTypedData_v4)完成,而非表单提交;集成SIWE(Sign-In With Ethereum

    73310

    在 Linux 命令行中收发 Gmail 邮件

    当然 Mutt 也很与时俱进,随着各种流行的协议(如 POP、IMAP、LDAP)出现,它都实现了良好的支持。因此,即使我们使用的是 Gmail 这种邮件服务,也可以与 Mutt 无缝衔接。...同样地,也是通过 Git 将代码库克隆到本地,进入目录后使用 pip 安装。...而第二个值则需要通过双因素身份验证(2FA)后从 Google 获取(即使你在查收邮件时不需要使用 2FA)。...为 Gmail 设置双因素身份验证(2FA) Google 希望用户通过 Gmail 网站收发电子邮件,因此当你在 Gmail 网站以外操作电子邮件时,实际上是被 Google 作为“开发者”看待(...但出于安全考虑,我现在已经改为使用 GnuPG 加密应用程序密码,这部分内容不在本文的讨论范围,关于如何设置 GPG 密码集成,可以参考我的 另一篇文章。

    4K20

    基于Mamba 2FA套件的AiTM攻击机理与防御架构研究

    当用户在页面上进行操作时,所有请求均先发送至攻击者的代理服务器,再由代理服务器转发至Microsoft官方服务器。响应数据则沿原路返回。...当用户通过Mamba 2FA构建的钓鱼域名(如 fake-login.com)进行认证时,浏览器的WebAuthn API会检测到起源不匹配,拒绝调用私钥进行签名,或者直接生成一个针对钓鱼域名的无效签名...由于攻击者通常使用未受管的个人设备或虚拟机,其设备ID不在白名单内,即便持有有效Cookie也会被拒绝访问。其次,引入位置与网络上下文。...限制仅允许受信任的IP范围(如公司办公网、已知安全出口)访问核心应用。对于异常地理位置的登录请求,强制要求重新进行高强度的身份验证。最后,启用连续访问评估(CAE)。...正常的用户行为具有特定的模式,如访问时间、常用应用、操作频率等。AiTM攻击虽然能绕过认证,但难以完美模拟用户的行为习惯。系统应实时分析登录后的操作序列。

    12810

    基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

    然而,新型钓鱼工具包“Salty 2FA”的出现,揭示了传统MFA在面对实时中间人代理(Adversary-in-the-Middle, AiTM)攻击时的结构性脆弱性。...当受害者点击钓鱼邮件中的链接(如“查看新发票”)时,被重定向至攻击者控制的仿冒登录页面。该页面并非静态表单,而是动态代理请求至真实的login.microsoftonline.com。...在此期间,即使用户登出或修改密码,已颁发的Refresh Token仍可换取新Access Token,除非显式吊销。...当检测到高风险事件(如密码重置、设备丢失报告),CAE可在数秒内使相关访问令牌失效,大幅缩短攻击窗口。管理员需在Azure AD中启用CAE并确保应用支持增量权限撤销。...应教育用户:若在“正常”登录Microsoft 365时感知异常延迟,应立即中断操作并报告IT部门。

    25410

    Nagios Fusion 2FA暴力破解绕过漏洞分析

    漏洞核心问题:缺乏速率限制:2FA验证端点未限制OTP提交尝试次数弱锁定策略:多次OTP验证失败后不会触发账户锁定潜在未授权访问:攻击者可利用此漏洞绕过2FA,访问敏感账户此漏洞源于缺乏针对暴力破解攻击的适当防御措施...,导致2FA机制在面对定向攻击时失效。...:攻击者使用有效的用户名和密码尝试登录2FA触发:系统提示输入来自认证应用/SMS/邮箱的OTP自动化攻击:攻击者编写脚本向/verify-otp端点发送自动化请求无限尝试:由于缺乏速率限制和锁定机制,...2FA已被绕过") return True else: print("[-] 攻击失败") return False# 使用示例...:检查所有使用Nagios Fusion的实例版本立即升级到修复版本2024R2.1或更高审查所有2FA实现,确保实施适当的防护措施监控认证日志中的异常模式免责声明:本仓库仅用于漏洞报告和CVE参考目的

    22510

    加固你的Roundcube服务器

    提交申请后验证身份 提交申请成功后弹窗提示如下,需要前往【证书详情页】获取CName记录添加解析: 获取CName记录如Tips中显示,需要尽快成功添加解析,方可通过CA机构审核: 获取证书 下载你申请的证书...这涉及下载插件(通常是.zip文件或Git存储库),然后通过修改Roundcube配置文件/var/www/roundcube/config/config.inc.ph来启用它。...现在已经安装了插件,我们需要使用通过Roundcube的GUI在我们的帐户上设置2FA。 第三步 - 在您的帐户上启用双重身份验证 要开始使用,请使用浏览器中的服务器IP或域登录Roundcube。...我们将在下一步使用名为Enigma的插件执行此操作。 第四步 - 使用GPG启用加密电子邮件 Enigma插件增加了用于查看和发送签名,加密电子邮件的支持。...保留设置的私钥密码:Roundcube会记住您在加密或解密电子邮件时输入的密码,因此您不必每次都输入密码。 选择设置后,单击“ 保存”。接下来,单击“ 设置”列中的“ 身份”。

    5.3K00

    基于GitHub通知机制的钓鱼攻击与供应链安全防御研究

    此外,邮件模板高度标准化,包含GitHub品牌Logo、标准配色、操作按钮(如“View Issue”)等元素,极大增强了欺骗性。...2.3 OAuth授权劫持与持久化访问当用户点击钓鱼链接后,会被重定向至伪造的OAuth授权页面,通常伪装成知名项目(如“Gitcoin Passport”)。...5 多层次防御策略设计5.1 账户与认证层加固强制启用双因素认证(2FA):建议使用FIDO2安全密钥(Passkey)替代短信或TOTP,防止会话劫持;实施SAML SSO集成:通过企业身份提供商统一管理...5.2 权限最小化原则使用细粒度PAT:仅授予特定仓库的必要权限(如contents:read + pull-requests:write);审查OAuth应用:定期审计已授权应用,移除未使用或权限过高的条目...本文通过技术拆解、影响评估与防御设计,表明单一控制点(如2FA或邮件过滤)不足以应对该类威胁。必须构建覆盖账户、权限、行为、代码四层的纵深防御体系,并辅以自动化检测能力。

    27510
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券