performing-initial-access-with-evilginx3
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
Best use case
performing-initial-access-with-evilginx3 is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
Teams using performing-initial-access-with-evilginx3 should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-initial-access-with-evilginx3/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-initial-access-with-evilginx3 Compares
| Feature / Agent | performing-initial-access-with-evilginx3 | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 EvilGinx3 执行初始访问 ## 概述 EvilGinx3 是一个中间人(Man-in-the-Middle)攻击框架,用于钓鱼登录凭据和会话 Cookie,从而绕过多因素认证(MFA)。与仅捕获用户名和密码的传统凭据钓鱼不同,EvilGinx3 作为透明反向代理运行于受害者和合法认证服务之间,拦截包括 MFA 令牌和会话 Cookie 在内的完整认证流程。这使其成为红队演示对手中间人(AiTM)攻击风险的主要工具,特别针对仅依赖 MFA 进行保护的组织。 ## 目标 - 使用针对授权范围的自定义 phishlet 部署 EvilGinx3 - 为钓鱼域名配置 DNS 和 SSL 证书 - 捕获绕过 MFA 保护的会话令牌 - 将窃取的会话 Cookie 导入浏览器以劫持已认证的会话 - 与 GoPhish 或自定义投递机制集成以执行钓鱼邮件活动 - 记录从钓鱼邮件到已认证访问的完整攻击链 ## MITRE ATT&CK 映射 - **T1566.002** - 钓鱼:鱼叉式钓鱼链接 - **T1557** - 中间人攻击(Adversary-in-the-Middle) - **T1539** - 窃取 Web 会话 Cookie - **T1078** - 有效账户 - **T1556** - 修改认证过程 - **T1550.004** - 使用替代认证材料:Web 会话 Cookie ## 实施步骤 ### 阶段一:基础设施设置 1. 注册令人信服的仿冒域名(如使用同形字或拼写错误) 2. 配置 VPS 并将域名的 DNS A 记录指向服务器 IP 3. 安装 EvilGinx3: ```bash git clone https://github.com/kgretzky/evilginx2.git cd evilginx2 make sudo ./bin/evilginx -p ./phishlets ``` 4. 在 EvilGinx3 中配置域名和 IP: ``` config domain example-phish.com config ipv4 <server-ip> ``` 5. EvilGinx3 自动为已配置的主机名申请 Let's Encrypt 证书 ### 阶段二:Phishlet 配置 1. 为目标服务选择或创建 phishlet(如 Microsoft 365、Google Workspace): ``` phishlets hostname o365 login.example-phish.com phishlets enable o365 ``` 2. 验证 phishlet 已激活且 SSL 证书已签发: ``` phishlets ``` 3. 为钓鱼活动创建诱饵 URL: ``` lures create o365 lures get-url 0 ``` 4. 可选:配置捕获后的重定向 URL: ``` lures edit 0 redirect_url https://legitimate-site.com ``` ### 阶段三:钓鱼投递 1. 制作包含诱饵 URL 的借口邮件 2. 使用 GoPhish 或手动 SMTP 进行邮件投递: ``` # 与 EvilGoPhish 集成以执行联合活动 # 提供 GoPhish 邮件跟踪 + EvilGinx3 凭据捕获 ``` 3. 如有需要,实施 URL 掩码或缩短以混淆链接 4. 部署带有适当社会工程学借口的着陆页 ### 阶段四:会话劫持 1. 监控 EvilGinx3 捕获的会话: ``` sessions sessions <session-id> ``` 2. 从会话中提取捕获的会话 Cookie: ``` # 会话输出包括: # - 用户名和密码 # - 会话 Cookie(认证令牌) # - 自定义捕获的参数 ``` 3. 使用 Cookie 编辑器扩展将会话 Cookie 导入浏览器: - 以 JSON 格式导出 Cookie - 使用 Cookie-Editor 或 EditThisCookie 浏览器扩展 - 导航到目标服务以验证会话劫持 4. 通过创建应用密码或 OAuth 令牌建立持久访问 ### 阶段五:访问后活动 1. 枚举邮箱内容、联系人和共享驱动器 2. 识别用于横向钓鱼的额外目标 3. 检查对连接的云应用(SharePoint、Teams、OneDrive)的访问 4. 记录所有捕获的凭据和获得的访问权限 ## 工具与资源 | 工具 | 用途 | 平台 | |------|---------|----------| | EvilGinx3 | AiTM 钓鱼框架 | Linux | | GoPhish | 钓鱼活动管理 | 跨平台 | | EvilGoPhish | 集成 EvilGinx3 + GoPhish | Linux | | Cookie-Editor | 浏览器 Cookie 导入/导出 | 浏览器扩展 | | Modlishka | 替代 AiTM 代理框架 | Linux | | Muraena | 替代 AiTM 钓鱼代理 | Linux | ## Phishlet 目标 | 目标服务 | Phishlet | 捕获数据 | |---------------|----------|---------------| | Microsoft 365 | o365 | 会话 Cookie、凭据 | | Google Workspace | google | 会话 Cookie、凭据 | | Okta | okta | 会话令牌、凭据 | | GitHub | github | 会话 Cookie、凭据 | | AWS 控制台 | aws | 会话令牌、凭据 | ## 检测指标 | 指标 | 检测方法 | |-----------|-----------------| | 新注册的仿冒域名 | 域名监控和证书透明度日志 | | 可疑域名的 SSL 证书 | CT 日志监控(crt.sh、Censys) | | 钓鱼后的异常登录位置 | 认证事件的 SIEM 关联 | | 来自不同 IP 的会话 Cookie 重放 | 条件访问策略告警 | | 流量中的 AiTM 代理头部 | 针对代理工件的网络检查 | ## 验证标准 - [ ] EvilGinx3 已部署并配置有效的 SSL 证书 - [ ] 已为目标服务配置并启用 Phishlet - [ ] 已生成诱饵 URL 并可访问 - [ ] 通过钓鱼流程成功捕获测试凭据 - [ ] 会话 Cookie 已捕获并验证 MFA 绕过 - [ ] 在浏览器中用窃取的 Cookie 演示了会话劫持 - [ ] 已确认对目标服务的认证后访问 - [ ] 已通过截图和会话日志记录证据
Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
securing-remote-access-to-ot-environment
本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。