mkdir gophish
cd gophish
unzip gophish-v0.12.1-linux-64bit.zip -d goph
进行文件配置
然后修改配置文件config.json:
admin_server 是后台管理页面,我们要将 127.0.0.1 改为 0.0.0.0,默认开放的端口为3333,可以进行更改xxxx。
phishserver是钓鱼网站,默认开放80端口。listenurl 也要是 0.0.0.0,如果 80 端口被占用了可以改为其他端口比如xxxx。
contact_address 不是一定要加上的,可以加一个。
赋予权限,并且进行执行
chmod 777 gophish
./gophish
nohup ./gophish & #后台进行执行
jobs:查看当前有多少在后台运行的命令,-l选项可显示所有任务的PID。
报错信息排查
https://roy.wang/centos7-upgrade-glibc/
此时再次启动,回显密码
https://ip:端口/
admin
78dbfee58e00fd19
云主机开启防火墙策略,允许端口开放访问
进行访问,发现还是报错,排查发现,配置文件里面,限制了127.0.0.1访问,更改配置文件
发现成功访问,必须使用https进行访问
首次登陆进行密码更改,成功进入系统
三、Gophish配置
0x01 功能介绍
| 功能 | 简述 |
|---|---|
| Dashboard | 仪表板,查看整体测试情况 |
| Campaigns | 每次攻击前需要配置一次 |
| Users & Groups | 用户和用户组(添加需要进行钓鱼的邮箱和相关基础信息) |
| Email Templates | 电子邮件模板 |
| Landing Pages | 需要伪造的钓鱼页面 |
| Sending Profiles | 钓鱼邮箱发送配置 |
0x02 Sending Profiles(钓鱼邮箱发送配置)
-
主要作用是将用来发送钓鱼邮件的邮箱配置到Gophish。点击 “New Profile” 新建一个策略,依次来填写各个字段:
-
Name:Name字段是为新建的发件策略进行命名,不会影响到钓鱼的实施,建议以发件邮箱为名字,例如使用qq邮箱来发送钓鱼邮件,则Name字段可以写xxxxxx@qq.com。 -
Interface Type:Interface Type 是接口类型,默认为 SMTP类型 且不可修改,因此需要发件邮箱开启SMTP服务 -
From:From 是发件人,即钓鱼邮件所显示的发件人。(在实际使用中,一般需要进行近似域名伪造)这里为了容易理解,就暂时以qq邮箱为例,所以From字段可以写:test<xxxxxx@qq.com>。 -
Host:Host 是SMTP服务器的地址,格式是smtp.example.com:25,例如qq邮箱的smtp服务器地址为smtp.qq.com。但这里要注意,如果搭建Gophish平台用的vps是阿里云的话,是不能使用25端口的,因为阿里云禁用25端口,你可以通过提工单解封,但申请通过的难度很大。所以,我们这里可以把25端口改为465端口,即填写smtp.qq.com:465,这样就可以成功发送邮件了。 -
Username:Username 是SMTP服务认证的用户名,如果是qq邮箱,Username则是自己的qq邮箱号xxxx@qq.com。 -
Password:Password 是SMTP服务认证的密码,例如qq邮箱,需要在登录qq邮箱后,依次点击 “设置”—>“账户”—>“开启SMPT服务”—>“生成授权码”来获取SMTP服务授权码,Password的值则填写我们收到的授权码。
-
Email Headers(选填):Email Headers 是自定义邮件头字段,例如邮件头的X-Mailer字段,若不修改此字段的值,通过gophish发出的邮件,其邮件头的X-Mailer的值默认为gophish。
设置好以上字段,可以点击 “Send Test Email” 来给自己发送一个测试邮件,以检测SMTP服务器是否认证通过。如下,成功收到测试邮件,说明SMTP服务器是否认证通过:
查看发送结果
至此,发件邮箱的配置已经完成。当然,在实际钓鱼中,不可能使用自己的qq邮箱去发送钓鱼邮件。一是因为很容易暴露自身身份,而且邮件真实性低,二是qq邮箱这类第三方邮箱对每个用户每日发件数存在限制,对钓鱼有检测、会被封的,所以我们还是得自己搭建邮件服务器。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-enAeq9rw-1712660322673)]
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
