专栏首页FreeBufJeopardize:一款针对钓鱼域名的低功耗威胁情报&响应工具

Jeopardize:一款针对钓鱼域名的低功耗威胁情报&响应工具

工具介绍

Jeopardize工具的主要目标是以尽可能低的成本来提供针对网络钓鱼域名的基本威胁情报和响应能力,它可以检测到已注册的潜在钓鱼域名(根据排版和同音字等因素),并在对域名进行分析之后给出威胁评级分数,然后再在这些钓鱼站点的登录表单中填写看似有效的凭证。

大家可以想象一下这种情况:攻击者注册了一个钓鱼域名,比如说acmebnak.com,然后仿制了合法acmebank.com中的原始登录表单,并通过Twitter的广告来散布这个钓鱼域名。这个广告和域名可能会在第二天就被标记为钓鱼站点,但攻击者已从目标用户那里获取到了大量凭证了,而“亡羊补牢”地撤下这个域名并不会对受影响的用户有任何帮助。不过Jeopardize可以向钓鱼表单提供看似有效的凭证数据,并以此来迷惑攻击者。

存储输出结果

该工具会将所有的检测结果存储到一个XML文件中,样本输出文件内容如下:

<domain>      <address>acmebnak.com</address>      <name_servers>ns1.cloudflare.com ns2.cloudflare.com</name_servers>      <mx_servers> </mx_servers>      <date_flag>True</date_flag>      <alexa_flag>False</alexa_flag>      <webserver_flag>True</webserver_flag>      <certificate_flag>False</certificate_flag>      <form_flag>True</form_flag>      <phishing_score>85</phishing_score>    </domain>

工具安装

Jeopardize要求Python3环境,并且已经在macOS、Ubuntu 18.04和基于Debian的Linux系统上进行过测试了。首先,我们需要将代码库克隆至本地:

git clone https://github.com/utkusen/jeopardize.git

切换到项目目录:

cd jeopardize

安装所需的依赖库:

pip3 install -r requirements.txt

除此之外,你还需要安装chromedriver。

在Ubuntu上,运行:

sudo apt install chromium-chromedriver

在Kali(基于Debian的系统)上,运行:

pip3 install chromedriver-binary

在macOS上:

brew cask install chromedriver

如果你想要整合Zonefiles.io API,使用文本编辑器打开jeopardize.py,并使用你自己的密钥替换掉其中的ZONEFILES_API_KEY = “”。

工具使用

macOS用户提醒:macOS貌似出于安全机制方面的考虑,会限制多线程,你需要在使用该工具之前运行下列命令:

export OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES

如需了解更多详情,请参考【这里】。

你需要使用—domain参数来提供需要检测的钓鱼域名,你害需要使用—type来指定需要使用的域名检测方法。

样本命令:

python3 jeopardize.py --domain facebook.com --type brute

接下来,工具会生成关于“facebook”的单词组合(例如fcabook和facebkook等),并添加所有的顶级域名后缀(com、net、org、xyz等),然后针对这些域名发送whois查询。查询结果将保存到facebook.com.xml文件中,这里不会向检测域名填写登录表单:

样本命令:

python3 jeopardize.py --domain facebook.com --type daily

该命令将会用Zonefiles.io API抓取过去24小时内注册的所有域名,并搜索它们来生成字典,例如fcabook和facebkook等。

样本命令:

python3 jeopardize.py --domain facebook.com --type incremental

该命令将会获取之前生成的XML文件,然后爬取其中的域名并更新数据。

如果你想要填写检测域名中的登录表单,你还需要使用-U和-P参数来提供用户名和密码列表。

样本命令:

python3 jeopardize.py --domain facebook.com --type daily -U user.txt -P pass.txt

如果你想要激活Verbose模式,可以直接在命令结尾处添加-v参数。

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 挖洞经验 | 看我如何利用一条扫描命令发现价值$2500漏洞

    在最近Memcache服务被利用发动反射型DDoS攻击事件之后,我想到了之前我发现的一例Memcache相关的赏金漏洞,这是一个价值$2500美金的Pornhu...

    FB客服
  • “同形异义字”钓鱼攻击,钉钉中招

    技术交流:allen.lan#hotmail.com(# > @) 同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名...

    FB客服
  • 看我如何发现影响20多个Uber子域名的XSS漏洞

    大家好,今天我要分享的是一个影响20多个Uber子域名的XSS漏洞,该漏洞存在于uberinternal.com身份验证时向uber.onelogin.com的...

    FB客服
  • 劲爆消息!三数字域名627.com数百万元易主

    近年来企业网站却在增加,如果按照这个方式去发展的话企业的终端会越来越多,因此大部分的企业都比较重视域名的含义,所以含义类的域名会有更加广阔的市场,短...

    躲在树上的域小名
  • 一波精彩的社会工程学操作

    故事要从FireEye的报告开始:Poison Ivy – Assessing Damage and Extracting Intelligence

    安恒网络空间安全讲武堂
  • 神秘买家千万收购688.com

    据爆料,在米友们的协助下,神秘买家以八位数的价格收购了688.com!688.com目前处于隐私保护状态,暂不可得知买家具体身份。

    躲在树上的域小名
  • 劲爆消息!中国投资人拿下“金币”jb.com

    劲爆消息!劲爆消息!一金币域名jb.com漂洋过海,被中国投资人拿下!

    躲在树上的域小名
  • 有好东西融资2000万美金:官网启用四拼域名

    社群零售平台“有好东西”获得了新一轮2000万美元的融资。本轮融资由愉悦资本领投,险峰长青,微光创投,嘉程资本和真格基金跟投。。目前其官网域名为yo...

    躲在树上的域小名
  • 请问怎么把我的一个长网址设置到域名访问?

    用户6354929
  • 在Kotlin开发中如何使用集合详解

    使用 Kotlin 开发 Android App 在 Java 工程师群体中变得越来越流行。如果你由于某些原因错过了 Kotlin,我们强烈建议你看一下这篇文章...

    砸漏

扫码关注云+社区

领取腾讯云代金券