performing-initial-access-with-evilginx3

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

9 stars

Best use case

performing-initial-access-with-evilginx3 is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

Teams using performing-initial-access-with-evilginx3 should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-initial-access-with-evilginx3/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-initial-access-with-evilginx3/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-initial-access-with-evilginx3/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-initial-access-with-evilginx3 Compares

Feature / Agentperforming-initial-access-with-evilginx3Standard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 EvilGinx3 执行初始访问

## 概述

EvilGinx3 是一个中间人(Man-in-the-Middle)攻击框架,用于钓鱼登录凭据和会话 Cookie,从而绕过多因素认证(MFA)。与仅捕获用户名和密码的传统凭据钓鱼不同,EvilGinx3 作为透明反向代理运行于受害者和合法认证服务之间,拦截包括 MFA 令牌和会话 Cookie 在内的完整认证流程。这使其成为红队演示对手中间人(AiTM)攻击风险的主要工具,特别针对仅依赖 MFA 进行保护的组织。

## 目标

- 使用针对授权范围的自定义 phishlet 部署 EvilGinx3
- 为钓鱼域名配置 DNS 和 SSL 证书
- 捕获绕过 MFA 保护的会话令牌
- 将窃取的会话 Cookie 导入浏览器以劫持已认证的会话
- 与 GoPhish 或自定义投递机制集成以执行钓鱼邮件活动
- 记录从钓鱼邮件到已认证访问的完整攻击链

## MITRE ATT&CK 映射

- **T1566.002** - 钓鱼:鱼叉式钓鱼链接
- **T1557** - 中间人攻击(Adversary-in-the-Middle)
- **T1539** - 窃取 Web 会话 Cookie
- **T1078** - 有效账户
- **T1556** - 修改认证过程
- **T1550.004** - 使用替代认证材料:Web 会话 Cookie

## 实施步骤

### 阶段一:基础设施设置
1. 注册令人信服的仿冒域名(如使用同形字或拼写错误)
2. 配置 VPS 并将域名的 DNS A 记录指向服务器 IP
3. 安装 EvilGinx3:
   ```bash
   git clone https://github.com/kgretzky/evilginx2.git
   cd evilginx2
   make
   sudo ./bin/evilginx -p ./phishlets
   ```
4. 在 EvilGinx3 中配置域名和 IP:
   ```
   config domain example-phish.com
   config ipv4 <server-ip>
   ```
5. EvilGinx3 自动为已配置的主机名申请 Let's Encrypt 证书

### 阶段二:Phishlet 配置
1. 为目标服务选择或创建 phishlet(如 Microsoft 365、Google Workspace):
   ```
   phishlets hostname o365 login.example-phish.com
   phishlets enable o365
   ```
2. 验证 phishlet 已激活且 SSL 证书已签发:
   ```
   phishlets
   ```
3. 为钓鱼活动创建诱饵 URL:
   ```
   lures create o365
   lures get-url 0
   ```
4. 可选:配置捕获后的重定向 URL:
   ```
   lures edit 0 redirect_url https://legitimate-site.com
   ```

### 阶段三:钓鱼投递
1. 制作包含诱饵 URL 的借口邮件
2. 使用 GoPhish 或手动 SMTP 进行邮件投递:
   ```
   # 与 EvilGoPhish 集成以执行联合活动
   # 提供 GoPhish 邮件跟踪 + EvilGinx3 凭据捕获
   ```
3. 如有需要,实施 URL 掩码或缩短以混淆链接
4. 部署带有适当社会工程学借口的着陆页

### 阶段四:会话劫持
1. 监控 EvilGinx3 捕获的会话:
   ```
   sessions
   sessions <session-id>
   ```
2. 从会话中提取捕获的会话 Cookie:
   ```
   # 会话输出包括:
   # - 用户名和密码
   # - 会话 Cookie(认证令牌)
   # - 自定义捕获的参数
   ```
3. 使用 Cookie 编辑器扩展将会话 Cookie 导入浏览器:
   - 以 JSON 格式导出 Cookie
   - 使用 Cookie-Editor 或 EditThisCookie 浏览器扩展
   - 导航到目标服务以验证会话劫持
4. 通过创建应用密码或 OAuth 令牌建立持久访问

### 阶段五:访问后活动
1. 枚举邮箱内容、联系人和共享驱动器
2. 识别用于横向钓鱼的额外目标
3. 检查对连接的云应用(SharePoint、Teams、OneDrive)的访问
4. 记录所有捕获的凭据和获得的访问权限

## 工具与资源

| 工具 | 用途 | 平台 |
|------|---------|----------|
| EvilGinx3 | AiTM 钓鱼框架 | Linux |
| GoPhish | 钓鱼活动管理 | 跨平台 |
| EvilGoPhish | 集成 EvilGinx3 + GoPhish | Linux |
| Cookie-Editor | 浏览器 Cookie 导入/导出 | 浏览器扩展 |
| Modlishka | 替代 AiTM 代理框架 | Linux |
| Muraena | 替代 AiTM 钓鱼代理 | Linux |

## Phishlet 目标

| 目标服务 | Phishlet | 捕获数据 |
|---------------|----------|---------------|
| Microsoft 365 | o365 | 会话 Cookie、凭据 |
| Google Workspace | google | 会话 Cookie、凭据 |
| Okta | okta | 会话令牌、凭据 |
| GitHub | github | 会话 Cookie、凭据 |
| AWS 控制台 | aws | 会话令牌、凭据 |

## 检测指标

| 指标 | 检测方法 |
|-----------|-----------------|
| 新注册的仿冒域名 | 域名监控和证书透明度日志 |
| 可疑域名的 SSL 证书 | CT 日志监控(crt.sh、Censys) |
| 钓鱼后的异常登录位置 | 认证事件的 SIEM 关联 |
| 来自不同 IP 的会话 Cookie 重放 | 条件访问策略告警 |
| 流量中的 AiTM 代理头部 | 针对代理工件的网络检查 |

## 验证标准

- [ ] EvilGinx3 已部署并配置有效的 SSL 证书
- [ ] 已为目标服务配置并启用 Phishlet
- [ ] 已生成诱饵 URL 并可访问
- [ ] 通过钓鱼流程成功捕获测试凭据
- [ ] 会话 Cookie 已捕获并验证 MFA 绕过
- [ ] 在浏览器中用窃取的 Cookie 演示了会话劫持
- [ ] 已确认对目标服务的认证后访问
- [ ] 已通过截图和会话日志记录证据

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。