wordpress选取文章图片作为缩略图seo推广怎么做

wordpress选取文章图片作为缩略图,seo推广怎么做,深圳设计外包服务,营销类型网站怎么建设邮件钓鱼入门到入土 在大型企业边界安全做的越来越好的情况下#xff0c;不管是 APT 攻击还是红蓝对抗演练#xff0c;钓鱼和水坑攻击被越来越多的应用。 一、邮件安全的三大协议 1.1 SPF SPF 是 Sender Policy Framework 的缩写#xff0c;中文译为发送方策略框架。 主…邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下不管是 APT 攻击还是红蓝对抗演练钓鱼和水坑攻击被越来越多的应用。一、邮件安全的三大协议1.1 SPFSPF 是 Sender Policy Framework 的缩写中文译为发送方策略框架。主要作用是防止伪造邮件地址。由于发送电子邮件的传统规范 - 1982年制定的《简单邮件传输协议SMTP》对发件人的邮件地址根本不进行认证导致垃圾邮件制造者可以随意编造寄件人地址来发送垃圾信而接收者则毫无办法因为你无法判断收到的邮件到底是谁寄来的。在SPF体系中每个需要发送电子邮件的企业在其对外发布的DNS域名记录中列出自己域名下需要发送邮件的所有IP地址段而接收到邮件的服务器则根据邮件中发件人所属的域名查找该企业发布的合法IP地址段再对照发送邮件的机器是否属于这些地址段就可以判别邮件是否伪造的。查询是否开启 SPFnslookup-typetxtqq.comdig-ttxtqq.com记录中有spf1说明使用 spf ,所谓伪造邮件的时候是发送不到qq邮箱的。但是一般甲方是没有设置此协议的。1.2 DKIMDKIM电子邮件验证标准——域名密钥识别邮件标准。DomainKeys Identified Mail的缩写。一般来说发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开密钥后进行验证。1.3 DMARCdmarc2012年1月30号由PaypalGoogle微软雅虎等开发相关内容有DMARC协议。关注公众号Python人工智能编程回复Python获取资料。[DMARC]协议基于现有的[DKIM]和[SPF]两大主流电子邮件安全协议由Mail Sender方域名拥有者Domain Owner在[DNS]里声明自己采用该协议。当Mail Receiver方其MTA需支持DMARC协议收到该域发送过来的邮件时则进行DMARC校验若校验失败还需发送一封report到指定[URI]常是一个邮箱地址。二、环境搭建准备与目标相关联相似域名公网VPSGophishEwoMai2.1 Gophish 搭建我用的是ubuntu下载wgethttps://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip解压mkdir-p/gophishunzip gophish-v0.11.0-linux-64bit.zip -d/gophish/cd/gophish/修改config.json 中 127.0.0.1 为 0.0.0.0 。80端口代表钓鱼网站开放的端口后台管理页面开放的端口是3333默认的账号和密码是 admin/gophish。{admin_server: {listen_url: 0.0.0.0:3333,use_tls: true,cert_path: gophish_admin.crt,key_path: gophish_admin.key},phish_server: {listen_url: 0.0.0.0:80,use_tls: false,cert_path: example.crt,key_path: example.key},db_name: sqlite3,db_path: gophish.db,migrations_prefix: db/db_,contact_address: ,logging: {filename: ,level: }}后台运行目前环境即搭建完成。chmodx gophish./gophish 访问https://IP:3333/可能会提示证书不正确依次点击高级—继续转到页面输入默认账密进行登录admin/gophish也有可能不是默认密码在vps启动./gophish之后会在命令行中给出一个临时密码用临时密码登录之后再设置新的密码。访问钓鱼界面打开浏览器访问http://ip:80/由于我们还未配置钓鱼页面提示小段的404 page not found说明运行正常。Gophish搭建完成。2.2 EwoMail搭建官方文档http://doc.ewomail.com/docs/ewomail/installewomail要求 centos 但是此时并不像重装系统所以使用docker 进行搭建。apt install docker.iodocker search ewomaildocker pull bestwu/ewomail创建并且启动容器(把命令中mail.ewomail.com 替换成你自己的域名 mail.*.格式)。docker run -d-hmail.ewomail.com --restartalways \-p25:25 \-p109:109 \-p110:110 \-p143:143 \-p465:465 \-p587:587 \-p993:993 \-p995:995 \-p81:80 \-p8080:8080 \-vpwd/mysql/:/ewomail/mysql/data/ \-vpwd/vmail/:/ewomail/mail/ \-vpwd/ssl/certs/:/etc/ssl/certs/ \-vpwd/ssl/private/:/etc/ssl/private/ \-vpwd/rainloop:/ewomail/www/rainloop/data \-vpwd/ssl/dkim/:/ewomail/dkim/ \--nameewomail bestwu/ewomail域名解析最终搭建的效果:http://域名:8080账号 admin 密码 ewomail123添加邮箱2.3 Gophish 功能介绍进入后台后左边的栏目即代表各个功能分别是Dashboard仪表板、Campaigns钓鱼事件、Users Groups用户和组、Email Templates邮件模板、Landing Pages钓鱼页面、Sending Profiles发件策略六大功能功能简述Dashboard仪表板查看整体测试情况Campaigns每次攻击前需要配置一次Users Groups用户和用户组添加需要进行钓鱼的邮箱和相关基础信息Email Templates电子邮件模板Landing Pages需要伪造的钓鱼页面Sending Profiles钓鱼邮箱发送配置Sending Profiles 发件策略Sending Profiles的主要作用是将用来发送钓鱼邮件的邮箱配置到gophish。点击New Profile新建一个策略依次来填写各个字段。填写刚才新建的发送邮箱地址和用户名。NameName字段是为新建的发件策略进行命名不会影响到钓鱼的实施。Interface Type:Interface Type 是接口类型默认为SMTP类型且不可修改因此需要发件邮箱开启SMTP服务但是大部分机器 smtp 的 25 端口被禁用了因此需要配置成 465 端口。From:From 是发件人即钓鱼邮件所显示的发件人。在实际使用中一般需要进行近似域名伪造。Host:Host 是smtp服务器的地址格式是smtp.example.com:25Username:Username 是smtp服务认证的用户名.Password:Password 是smtp服务认证的密码。可选Email Headers:Email Headers 是自定义邮件头字段例如邮件头的X-Mailer字段若不修改此字段的值通过gophish发出的邮件其邮件头的X-Mailer的值默认为gophish。设置好以上字段可以点击Send Test Email来发送测试邮件以检测smtp服务器是否认证通过。但是QQ 邮箱收不到啊…先用qq邮箱转发吧用户和from 都填 qq 邮箱账号。密码填授权码成功页面。1. Landing Pages 钓鱼页面配置好钓鱼邮件后就可以通过LandingPages模块来新建钓鱼网站页面此处支持手写 html文件也可通过导入网站功能。Name:Name 是用于为当前新建的钓鱼页面命名。Import Site:gophish为钓鱼页面的设计提供了两种方式第一种则是Import Site点击Import Site后填写被伪造网站的URL再点击Import即可通过互联网自动抓取被伪造网站的前端代码。这里测试百度。内容编辑框是编辑钓鱼页面的第二种方法但是绝大多数情况下它更偏向于用来辅助第一种方法即对导入的页面进行源码修改以及预览。重点Capture Submitted Data:通常进行钓鱼的目的往往是捕获受害用户的用户名及密码因此在点击Save Page之前记得一定要勾选Capture Submitted Data当勾选了Capture Submitted Data后页面会多出一个Capture Passwords的选项显然是捕获密码。通常可以选择勾选上以验证账号的可用性。如果仅仅是测试并统计受害用户是否提交数据而不泄露账号隐私则可以不用勾选另外当勾选了Capture Submitted Data后页面还会多出一个Redirect to其作用是当受害用户点击提交表单后将页面重定向到指定的URL。可以填写被伪造网站的URL营造出一种受害用户第一次填写账号密码填错的感觉一般来说当一个登录页面提交的表单数据与数据库中不一致时登录页面的URL会被添加上一个出错参数以提示用户账号或密码出错所以在Redirect to中最好填写带出错参数的URL。填写好以上参数点击Save Page即可保存编辑好的钓鱼页面。1. Email Templates 钓鱼邮件模板创建相应的钓鱼邮件模板 此处钓鱼模板可直接进行编辑也可导入其他邮箱的模板。Name:同样的这个字段是对当前新建的钓鱼邮件模板进行命名。Import Email:gophish为编辑邮件内容提供了两种方式第一种就是Import Email用户可以先在自己的邮箱系统中设计好钓鱼邮件然后发送给自己或其他伙伴收到设计好的邮件后打开并选择导出为eml文件或者显示邮件原文然后将内容复制到gophish的Import Email中即可将设计好的钓鱼邮件导入。这里直接在 QQ 邮箱打开一封信点击显示原文们就可以复制导入粘贴进去。效果需要注意在点击Import之前需要勾选上Change Links to Point to Landing Page该功能实现了当创建钓鱼事件后会将邮件中的超链接自动转变为钓鱼网站的URL。Subject:Subject 是邮件的主题通常为了提高邮件的真实性需要自己去编造一个吸引人的主题。内容编辑框内容编辑框是编写邮件内容的第二种模式内容编辑框提供了Text和HTML两种模式来编写邮件内容使用方式与正常的编辑器无异。其中HTML模式下的预览功能比较常用到在编辑好内容后点击预览就可以清晰看到邮件呈现的具体内容以及格式。Add Tracking Image:Add Tracking Image 是在钓鱼邮件末添加一个跟踪图像用来跟踪受害用户是否打开了收到的钓鱼邮件。默认情况下是勾选的如果不勾选就无法跟踪到受害用户是否打开了钓鱼邮件注跟踪受害用户是否点击钓鱼链接以及捕捉提交数据不受其影响Add Files:Add Files 是在发送的邮件中添加附件一是可以添加相关文件提高邮件真实性二是可以配合免杀木马诱导受害用户下载并打开。当填写完以上字段后点击Save Template就能保存当前编辑好的钓鱼邮件模板。1. User Groups 用户和组Users Groups的作用是将钓鱼的目标邮箱导入gophish中准备发送点击New Group新建一个钓鱼的目标用户组。Name:Name 是为当前新建的用户组命名。Bulk Import Users:Bulk Import Users是批量导入用户邮箱它通过上传符合特定模板的CSV文件来批量导入目标用户邮箱点击旁边灰色字体的Download CSV Template可以下载特定的CSV模板文件。其中模板文件的Email是必填项其余的Frist Name、Last Name、Position可选填。Add:除了批量导入目标用户的邮箱gophish也提供了单个邮箱的导入方法这对于开始钓鱼前钓鱼组内部测试十分方便不需要繁琐的文件上传直接填写Email即可同样其余的Frist Name、Last Name、Position可选填。编辑好目标用户的邮箱后点击Save Changes即可保存编辑好的目标邮箱保存在gophish中。1. Campaigns 钓鱼事件Campaigns 的作用是将上述四个功能Sending Profiles、Email Templates、Landing Pages、Users Groups联系起来并创建钓鱼事件。在Campaigns中可以新建钓鱼事件并选择编辑好的钓鱼邮件模板钓鱼页面通过配置好的发件邮箱将钓鱼邮件发送给目标用户组内的所有用户。点击New Campaign新建一个钓鱼事件。Name:Name 是为新建的钓鱼事件进行命名。Email Template:Email Template 即钓鱼邮件模板这里选择刚刚上面编辑好的钓鱼邮件模板。Landing Page:Landing Page 即钓鱼页面这里选择刚刚上面编辑好的。重点URL:URL 是用来替换选定钓鱼邮件模板中超链接的值该值指向部署了选定钓鱼页面的url网址。简单来说这里的URL需要填写当前运行gophish脚本主机的ip。因为启动gophish后gophish默认监听了3333和80端口其中3333端口是后台管理系统而80端口就是用来部署钓鱼页面的。当URL填写了http://主机IP/或者[http://mail.xxx.xxx/](http://mail.xxx.xxx/)并成功创建了当前的钓鱼事件后。gophish会在主机的80端口部署当前钓鱼事件所选定的钓鱼页面并在发送的钓鱼邮件里将其中所有的超链接都替换成部署在80端口的钓鱼页面的url。Launch Date:Launch Date 即钓鱼事件的实施日期通常如果仅发送少量的邮箱该项不需要修改。如果需要发送大量的邮箱则配合旁边的Send Emails By效果更佳。可选Send Emails By:Send Emails By 配合Launch Date使用可以理解为当前钓鱼事件下所有钓鱼邮件发送完成的时间。Launch Date作为起始发件时间Send Emails By作为完成发件时间而它们之间的时间将被所有邮件以分钟为单位平分。Sending Profile:Sending Profile 即发件策略这里选择刚刚编辑好的填写完以上字段点击Launch Campaign后将会创建本次钓鱼事件注意如果未修改Launch Date则默认在创建钓鱼事件后就立即开始发送钓鱼邮件。1. Dashboard 仪表爬当创建了钓鱼事件后Dashboard 会自动开始统计数据。统计的数据项包括邮件发送成功的数量及比率邮件被打开的数量及比率钓鱼链接被点击的数量及比率账密数据被提交的数量和比率以及收到电子邮件报告的数量和比率。另外还有时间轴记录了每个行为发生的时间点。需要注意的是Dashboard统计的是所有钓鱼事件的数据而非单个钓鱼事件的数据如果仅需要查看单个钓鱼事件的统计数据可以在Campaigns中找到该钓鱼事件点击View Results按钮查看。三、邮箱打点邮件钓鱼信息收集信息刺探信息验证邮箱定位内容伪造文件伪造3.1 寻找目标开放的邮件服务端口和Web端邮箱入口1. 通过扫描c段找到入口首先要先从MX记录域名找到他的真实ip地址。然后针对这个ip地址的c段进行扫描25、109、110、143、465、995、993端口一般情况下都很容易找到目标的邮件服务器入口。2. 通过子域名的方式找到邮件入口Sublist3r、TeeMO、LangSrcCurise、挖掘机等。3. 通过搜索引擎爬取Google hack 搜索 百度、搜狗、360、bing。 site:target.com intitle:”Outlook Web App” site:target.com intitle:”mail” site:target.com intitle:”webmail” Shodan、fofa、zoomeye搜索等。3.2 批量收集目标邮箱https://hunter.io/http://www.skymem.info/https://www.email-format.com/i/search/https://github.com/bit4woo/teemohttps://github.com/laramies/theHarvester3.3 验证邮箱在收集邮箱之后我们要对邮箱进行验证因为有些邮箱目标企业人员已经放弃或不用离职职位调动等。通过mailtester.com可以查询邮箱地址是否存在https://mailtester.com/testmail.phpverifyemail这款工具可批量验证邮箱https://github.com/Tzeross/verifyemailmailtester.pyhttps://github.com/angusluk/MailTester这款工具可以自动组合邮箱地址再根据组合的结果逐个验证。脚本的好处在于,它会根据 First / Last Name 中的名字随意拼装组合,然后再对其进行逐个验证。当我们在对邮箱用户进行枚举的时候尽量多找一些字典如中国人姓名拼音、字母缩写top100100010000此处我们需要更多的鱼叉多一个邮箱就多一份成功率。当然可以把搜集到疑似网络管理员、运维人员、安全部门的人员提取出来这些人单独写邮箱或者不发因为这些人安全意识相对较高容易打草惊蛇我们需要对一些非技术员工安全意识薄弱的人下手挑软柿子捏。这里可以配合这个网址https://www.aies.cn/pinyin.htm根据收集到的目标信息制定对应人名字典进行组合。3.4 邮箱爆破这种方式的弱口令爆破只适用于目标企业自己的邮件服务器如owa等 像百度腾讯阿里网易的邮箱不优先考虑。用到的工具medusa、hydra、SNETCracker、APT34组织 owa爆破工具等。另外邮箱用户名与密码往往还会使用公司简称20192020等社工口令多一个字典就多一份成功率。四、邮箱伪造一般情况下没有SPF可以 直接用swaks伪造。-t –to 目标地址 -t testtest.com-f –from 来源地址 (发件人) -f texttexttext.com–protocol 设定协议(未测试)--body http://www.baidu.com //引号中的内容即为邮件正文–header “Subject:hello” //邮件头信息subject为邮件标题-ehlo 伪造邮件ehlo头–data ./Desktop/email.txt //将正常源邮件的内容保存成TXT文件再作为正常邮件发送在线伪造http://tool.chacuo.net/mailanonymous匿名邮件http://tool.chacuo.net/mailsend五、绕过 SPF绕过 sendgird, mailgun在有SPF的情况下就需要绕过SPF,可以使用swakssmtp2go需要借助到邮件托管平台来绕过SPF监测。swaks --to xxx163.com --from admingov.com --ehlo xxx dan--body “hello im 007--server mail.smtp2go.com -p 2525 -au user -ap pass六、钓鱼域名注册有了文案怎么能让邮件看起来真实性更高呢最简单的就是用超链接,把元素内容改成想要仿冒的域名在邮箱页面上就会直接显示元素的内容我们可以使用一些与目标相似的域名。比如用0代替o用1代替l用vv代替w等等这就需要发挥你的想象来寻找相似的域名如果找不到这样形似的域名或者这种域名比较贵的情况下可以尝试一些更骚的操作。。例如使用国际域名这样的域名是怎么注册的呢在了解怎么注册一个这样的域名前需要先了解什么是国际域名IDN。6.1什么是IDN是指在域名中包含至少一个特殊语言字母的域名特殊语言包括中文、法文、拉丁文等。在DNS系统工作中这种域名会被编码成ASCII字符串并通过Punycode进行翻译。Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用於DNS系统的编码。目前因为操作系统的核心都是英文组成DNS服务器的解析也是由英文代码交换所以DNS服务器上并不支持直接的中文域名解析所有中文域名的解析都需要转成punycode码然后由DNS解析punycode码。其实目前所说的各种主流浏览器都完美支持IDN域名浏览器里面会自动对IDN域名进行Punycode转码而地址栏依旧显示的是原始输入的IDN域名。看看这两个域名www.biṇaṇce.com www.binance.com乍一看这一样的把。可是当把第一个域名复制到浏览器后就成了其他字符了。仔细看看第一个域名 n 下面有个点 哈哈哈这就是区别他其实是经过punycode转码后的域名www.xn--biace-4l1bb.com在试试www.ąliyun.com在这里可以找到相似的然后编码一下punycode在线转换工具http://tools.jb51.net/punycode/index.php UniCode编码表https://www.cnblogs.com/csguo/p/7401874.html前边仿冒的再像但如果浏览器上直接出现了不安全警告或者红斜杠也很容易引起目标的警惕。所以在条件允许的情况下尽量做戏做全套.七、钓鱼文件制作7.1 APT小技能伪造扩展名 kilerrat 工具文件捆绑传统宏文件CHM钓鱼CVE-2018-2174Windows 快捷键构造DDE钓鱼文档word 中插入外部对象(OLE)方式欺骗IQY特性钓鱼PPT 动作按钮特性构造 PPSX钓鱼RAR解压钓鱼网络安全的知识多而杂怎么科学合理安排下面给大家总结了一套适用于网安零基础的学习路线应届生和转行人员都适用学完保底6k就算你底子差如果能趁着网安良好的发展势头不断学习日后跳槽大厂、拿到百万年薪也不是不可能初级黑客1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础一周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础一周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础一周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗想要入坑黑客网络安全的朋友给大家准备了一份282G全网最全的网络安全资料包免费领取网络安全大礼包《黑客网络安全入门进阶学习资源包》免费分享7、脚本编程初级/中级/高级在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中面对复杂多变的网络环境当常用工具不能满足实际需求的时候往往需要对现有工具进行扩展或者编写符合我们要求的工具、自动化脚本这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中想要高效地使用自制的脚本工具来实现各种目的更是需要拥有编程能力.零基础入门建议选择脚本语言Python/PHP/Go/Java中的一种对常用库进行编程学习搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP IDE强烈推荐Sublime·Python编程学习学习内容包含语法、正则、文件、 网络、多线程等常用库推荐《Python核心编程》不要看完·用Python编写漏洞的exp,然后写一个简单的网络爬虫·PHP基本语法学习并书写一个简单的博客系统熟悉MVC架构并试着学习一个PHP框架或者Python框架 (可选)·了解Bootstrap的布局或者CSS。8、高级黑客这部分内容对零基础的同学来说还比较遥远就不展开细说了贴一个大概的路线。网络安全工程师企业级学习路线很多小伙伴想要一窥网络安全整个体系这里我分享一份打磨了4年已经成功修改到4.0版本的**《平均薪资40w的网络安全工程师学习路线图》**对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。如果你想要入坑黑客网络安全工程师这份282G全网最全的网络安全资料包网络安全大礼包《黑客网络安全入门进阶学习资源包》免费分享​​​​​​学习资料工具包压箱底的好资料全面地介绍网络安全的基础理论包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等将基础理论和主流工具的应用实践紧密结合有利于读者理解各种主流工具背后的实现机制。​​​​​​网络安全源码合集工具包​​​​视频教程​​​​视频配套资料国内外网安书籍、文档工具​​​​​ 因篇幅有限仅展示部分资料需要点击下方链接即可前往获取黑客/网安大礼包CSDN大礼包《黑客网络安全入门进阶学习资源包》免费分享好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!特别声明此教程为纯技术分享本文的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本书的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失。本文转自网络如有侵权请联系删除。