一、工具下载
相关钓鱼平台工具:Gophish
下载地址:https://github.com/gophish/gophish/releases/
二、环境搭建
下载后解压到本地,打开gophishing.exe即可运行服务
它在本地80端口开启钓鱼网站,因此如果不是内网钓鱼环境,需要将其架设在公网服务器上。默认端口3333,默认用户名密码为:admin/gophish。
后台登陆页面
进入后台即可进行实战配置
三、实战配置GoPhish
1、配置发送的邮箱信息
这里用的是QQ的邮箱(注:无论是什么类型的邮箱,首先都需要开启SMTP服务)
密码是开启smtp服务后,用于登录第三方客户端的专用密码,也就是授权码,这里参考https://service.mail.qq.com/cgi-bin/help?subtype=1&&id=28&&no=1001256
接下来可以尝试发送指定的邮箱尝试是否可以发送成功
在79xxxxx@qq.com的邮箱,发现收到新的邮件
保存
2、设置攻击目标
邮箱需要通过前期搜集,也可以批量添加,然后保存
成功创建
3、创建钓鱼模板
设置好钓鱼邮件的发送方和接收方之后,便设置钓鱼邮件的模板。GoPhish不但支持手动编辑生成钓鱼邮件,也支持导入现有邮件内容。我这里尝试从QQ邮箱中导出一封邮件,并导入GoPhish。
首先我先导出了qq邮件的一个eml文件保存到本地后打开
打开汇入电子邮件,箭头的地方是导入eml文件,下面也可以编辑想要的钓鱼邮件
将保存到本地的eml文件用文件编辑器打开复制里面的内容,粘贴到电子邮件内容里面
然后就自动填写了html内容,也可以点击“框”浏览页面
然后保存
4、伪造钓鱼页面
配置好钓鱼邮件后,新建钓鱼网站页面。
它同样支持导入网站功能,可以对目标网页进行克隆。但因为网页代码中通常会存在以相对位置定义路径的资源,因而无法真正的克隆出一个一模一样的网站。需要手动修改源代码来模仿真实的网站。下面写了一个简单的登陆窗口用来测试。
预览效果
勾选捕获提交的数据和捕获密码,这样当受害者在钓鱼页面尝试登陆并提交信息的时候,服务器会把相关数据保存下来。重定向是指用户做完提交操作后,页面跳转的地址,可以指向真正的官网登录页面,这样能减少受害者发现自身被钓鱼的可能性。最后保存
5、攻击
最后一步是攻击配置。如下图,填写好攻击的名称,选择钓鱼邮件模板,选择相应的钓鱼页面,目标邮箱,和发送邮箱。需要填上GoPhish服务端的地址,在钓鱼攻击开始前,这个地址会将先前钓鱼邮件模板中的链接替换。这样当目标受害人收到邮件并点击邮件中的链接时,就会跳转到服务端展示的钓鱼页面。也可以不填写GoPhish服务端所在的地址,转而输入其他搭建的钓鱼服务器地址。
启动成功,等待目标点击,并且还有监控的进展状态
四、受害者视角
受害者的视角来看这起钓鱼攻击事件,首先是查看邮件收件列表,收到了钓鱼邮件
点开后
受害者点开邮件连接
输入密码
重定向跳转到了,我之前设置的链接
五、结果展示
回到攻击者的后台,此时可以在仪表盘看到受害者打开了邮件,并点击了链接,而且提交了数据。
除此以外,还能看到受害者提交的具体信息,他所使用的系统、浏览器版本等各种细节。为日后也能更好的写报告
声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负。
6681
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
