大智慧没有，小聪明不断。不要解读没有，简化理解也没有，直接复制粘贴，直接抄袭或复用，这叫小聪明。有的人则更加小聪明，跳过理论，直接上手，导致N年以后的职业发展直接葬送掉。创新是难的，你们要把内容翻新一遍，已“原创”的形式交付。就要好好看看他们对于课程开发的后背的整体逻辑。知识点-->大背景-->demo-->lab。最后已自己的角度，问问自己是不是可以砍掉那些B理论，直接工具突突突。

section 01 module 01

1.1 介绍 逼逼奈奈的没啥东西

1.2 Email Delivery & Macro Fundamentals 邮件传递与宏基础

社工 attack vectors 2020
从垃圾邮件过渡到鱼叉

• Email Delivery & Macro Fundamentals 邮件传递与宏基础
  Sender Policy Framework 发件人策略框架

• SPF一把梭：类似于iptables加白
  SPF来验证（DNS TXT记录主机列表）：客户端连接邮件服务器发送 MAIL FROM，自定义地址，SMTP没办法对此进行验证（要进行验证就会存在比对，将你发送的地址和SPF记录进行对比）
  如果SPF记录存在，我们的IP地址不存在，邮件服务器则拒绝（世事无常，错误的实施导致可能没拒绝掉。0day思维，在它的机制的正反面(拒绝成功？拒绝失败？)之间进行验证。）

SPF 不验证邮件的发件人标头。From header

SPF正确执行的两项操作：

1. 接收邮件的邮件服务器必须验证 SPF 记录
2. 域所有者必须创建 SPF 记录

查询域的 SPF 记录
dig +short TXT domain.com

• DKIM
  SPF 无法验证邮件内容。DKIM 是验证邮件内容的标准。
  DKIM 是域密钥识别邮件 Domain Keys Identified Mail。
  邮件服务器利用此机制对消息及其内容进行签名，以便其他人可以确认该消息确实来自该服务器。对于消息签名过程，使用 DKIM-Signature header。

验证过程由服务器执行：通过 DNS 查询域的公钥，以确定消息是否来自该域。

• 一把梭：买了域名aaa.ir，然后与邮件商进行合作，加入DKIM-Signature头
  使 DKIM 按预期运行：域名所有者和邮件提供商之间必须进行合作(电子邮件接收者和发送者之间联动)，以便将缺少域名特定 DKIM-Signature 标头的消息标记为可疑消息。

dig selector._domainkey.domain.com TXT
dig dkim._domainkey.twitter.com TXT

这绝不是一个可行的解决方案。-这就是 DMARC 的用武之地。

• DMARC
  Domain-based Message Authentication, Reporting and Conformance 基于域的消息认证、报告和一致性 (或 DMARC) 是一种标准，允许域所有者执行以下操作：

1. 公布 DKIM 和 SPF 的使用情况
2. 当邮件检查失败时，通知其他邮件服务器应采取哪些措施

检查域名是否使用 DMARC

dig +short TXT _dmarc.wordpress.com

给QQ发邮件时，它主动检查记录并开启主动策略（SPF 和 DKiM同理，参考被动监听与记录）才会有效：只有在消息接收服务器主动检查记录并采取行动的情况下，DMARC 才会有效。没有主动采取这些对策，用户就会面临欺骗攻击。

• Accepted Domains 接受域
  如果没有 DMARC、SPF 和 DKlM，很难验证邮件是否是欺骗行为。如果组织对其拥有的域有清晰的了解，则还有另一种保护机制可以防止对本地用户的欺骗。此机制是 Microsoft Exchange 中的“接受域”功能

Spam Traps 垃圾邮件陷阱
垃圾邮件研判规则与策略：
域名年龄
指向 lP 地址的链接
链接操纵技术（改变、优化或控制网页链接，搜索引擎优化（SEO），超链接，鼠标放上去左下角才显示“真实”链接等）
可疑（不常见）附件
电子邮件内容损坏
使用的值与邮件标头的值不同
存在有效且受信任的 SSL 证书
将页面提交至网页内容过滤网站

• 绕过防御
  如果打算伪造来自其他域的消息，则应执行以下操作：
  检查域名是否具有 SPF、DKIM 或 DMARC 记录
  向不存在的用户发送消息并分析未送达通知消息的标题以获取关键信息。如果欺骗不了，直接尝试合法方法（就用QQ往QQ发）。
  养号：注册一个适合的社交工程活动内容的域名，并为域名正确设置 SPF、DKIM 和 DMARC 记录。

• 宏基础
  宏：文档案例
  VB代码与Microsoft Office 文件联动，从这些文件内部自动化流程并访问 Windows APls 以及其他低级功能。（90年代的宏默认为自动执行）
  从 MS Office 2003 开始，宏就不再自动执行，弹窗通知用户文件内有宏
  MS Office 2007 将宏安全性提升了一步。默认的 MS Word 文档文件中根本无法嵌入宏。OfficeOpen XML 标准促进了这一努力，微软在此基础上引入了四种不同的文件格式。（http://officeopenxml.com/）
  

Microsoft Windows 使用文件扩展名来确定单击文件后负责打开文件的软件。
安装 Microsoft Office 时，上述扩展名将与其关联。随后，所有上述文件类型都将由 Microsoft Office 程序套件处理。
Microsoft Word 在打开文件之前会执行文件数据验证。数据验证以数据结构识别的形式执行，符合 OfficeOpen XML 标准。
验证实际上是由 MS Office 的 WWLIB.DLL 组件执行的。
文件扩展名在该数据验证过程中不起作用。如果在数据结构识别过程中出现任何错误，则不会打开正在分析的文件。
注意，包含宏的 DOCM 文件可以更改文件扩展名重命名为其他文件格式，同时仍保留其宏执行功能。例如，RTF 文件不支持宏，但重命名为 RTF 的 DOCM 文件将由 Microsoft Word 处理，并且能够执行宏。
相同的内部结构和机制适用于 Microsoft Office Suite 的所有软件（Excel、PowerPoint 等）。
可以运行以下命令来查看与 Office 程序关联的文件并找到能够执行宏的扩展（不会提供完整列表）。

assoc | findstr /i "word"
assoc | findstr /i "excel"
assoc | findstr /i "powerp"

关于所介绍的宏基础知识有一个例外，那就是 DOCX 文件中的远程模板。
引用包含宏的模板的 DOCX 文件也可以执行“宏”。
通过执行此步骤来引用（远程）模板：File-Options-Add-ins-Manage:Templates-Go

1.3 Attack Vector Development 攻击向量开发

上号了钵钵鸡，随缘再更