系统凭据钓鱼揭秘

FakeLogonScreen是一款采用C＃语言编写的内网凭证钓鱼工具。使用时只需要将其在目标机器运行，它将自动显示伪造的windows登录屏幕、最小化其他应用的窗口、阻止大部分的快捷键，并且支持自动验证密码是否正确。类似的工具还有SharpLocker。

效果截图：

图：FakeLogonScreen的伪造锁屏界面

Invoke-CredentialPhisher 是一个利用windows通知的内网凭据钓鱼工具。提供CobaltStrick插件和ps1脚本，支持几种通知钓鱼模板。当受害者点击“windows通知”后，会弹出对应的钓鱼窗口诱导输入。

效果截图：

图：Invoke-CredentialPhisher的伪造windows通知

图：Invoke-CredentialPhisher的伪造登录界面

Edge浏览器不用多介绍，但是Edge kiosk模式可能很多人不了解，Edge kiosk模式是Microsoft 给Edge浏览器打造的一项功能，允许用户以受限的单一应用程序模式运行浏览器。通常用于公共空间，例如博物馆或零售店，需要向用户显示特定的web应用程序，而不允许用户访问其他网站或其他功能。

当Edge以kiosk模式启动时，它将以全屏方式打开指定的网站。用户将在没有任何提示的情况下，整块屏幕被一个网页覆盖，无法访问地址栏、菜单项或任何其他浏览器功能，并且禁用大部分的快捷键。

通过微软给出的介绍，我们可以快速的了解Edge kiosk的参数。

图：Edge kiosk模式打开仿造锁屏样式的页面

利用思考：

由于此方式利用Edge的正常功能，不存在工具免杀的问题，而且运行一条命令即可触发。也就是说在没有目标机器权限的情况下，只要想办法让目标以kiosk模式运行Edge即可钓鱼锁屏密码。

众所周知，lnk文件可以带参数运行指定程序，在起始位置选择Edge浏览器的绝对路径，目标填入kiosk模式的命令行参数，加上必要参数避免首次启动引导和无法退出，利用lnk文件特性，可以构造诱导性后缀名、选择诱导性的图标，构造如下：

图：利用lnk文件构造Edge kiosk模式钓鱼样本

图：lnk文件打开后仿造锁屏样式的页面

图：解锁后跳转某诱导pdf文件

https://github.com/bitsadmin/fakelogonscreen

https://github.com/Pickfordmatt/SharpLocker

https://github.com/SpiderLabs/SharpCompile

https://learn.microsoft.com/zh-cn/deployedge/microsoft-edge-configure-kiosk-mode?source=recommendations