环境:ubuntu20.04 server
- 下载gophish安装包
链接:GitHub - gophish/gophish: Open-Source Phishing Toolkit
1. 我下载的是gophish-v0.12.1-linux-64bit.zip,下载到本地后,拖进服务器中进行unzip解压
- 进入gophish目录,设置config.json配置文件,若需要远程访问后台管理界面,将listen_url修改为0.0.0.0:3333,端口可自定义。
、
- 给gophish执行权限
- ./gophish开启
- Users & Group(被钓人的邮箱)设置
我使用的网易邮箱,因为QQ邮箱会检测到钓鱼邮件,自动拉黑。
6.Email Templates(邮件模板设置)
第一步 点击import Email,邮箱内容的话,直接去QQ邮箱或者网易邮箱,点击查看信头,或者是显示邮件原文,导出eml文件
网易邮箱模板复制
QQ邮箱模板复制
最终把复制的文本复制粘贴到Emailcontent,记得点击Chang links to point这个按钮,目的是他把邮箱中存在的链接会自动换为我们自己的钓鱼界面。
最终点击Save Template
- Landing Page(钓鱼页面制作)
- 如果直接import网站对应的网页的话,没有修改POST方法和action,很有可能钓不到数据,最好是找到网页,把网页爬下来,修改源码
可以自行编辑前端代码,也可以点击import 去复制别人的前端界面,下面是我自己找的一个界面,去fofa搜索 body="后台管理系统",尽量找一个静态页面,然后对其修改源码,最终,保存,复制粘贴
爬取网页源码的软件推荐:Save Page WE
爬取下来之后,记事本打开或者note++编辑即可
复制到HTML中,记得点击Capture Submitted Data,Capture Passwords,一个是抓取用户是否点击了提交按钮,另一个是抓取用户在界面输入的账号密码,Rediect to的意思是当用户点击了按钮,会跳转的界面,一般我会设置为真实的界面,用户输入一遍数据,以为卡了跳转到真实的界面,我们就成功钓鱼到了用户的账号密码。
- Sending Profile(邮件发送配置)
- Campaigns(最终,开始钓鱼了)
发送
网易邮箱界面
当你点开邮箱后,gophish会显示
钓鱼成功
915
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
