网络钓鱼框架 使用Gophish进行邮件钓鱼

技能树, 社会工程学, 黑客技术

网络钓鱼框架 邮件钓鱼 gophish 通过虚假邮件让访问者中招,获取账号密码 利用伪装的电子邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗

钓鱼平台gophish

网络钓鱼框架的安装与使用 
安全行业开源漏洞扫描器 Scanners Box

Centos7安装gophish

# 下载
wget https://github.com/gophish/gophish/releases/download/0.7.1/gophish-v0.7.1-linux-64bit.zip

# 解压并启动
mkdir -p /app/gophish
unzip gophish-v0.7.1-linux-64bit.zip -d /app/gophish/ && cd /app/gophish/

# 修改配置文件
网络钓鱼框架
# 执行
./gophish

# 访问
https://192.168.199.5:3333/
# 账号:admin 密码:gophish
网络钓鱼框架

使用gophish进行钓鱼

  • 用户与组信息:Users & Groups

添加员工邮件信息

网络钓鱼框架
  • 配置邮件模板:Email Templates
网络钓鱼框架
  • 配置加载页面:Landing Pages
网络钓鱼框架
  • 配置发件人信息:Sending Profiles
网络钓鱼框架
  • 测试发件人信息是否正确
网络钓鱼框架
网络钓鱼框架
  • 配置发送信息
网络钓鱼框架
网络钓鱼框架
网络钓鱼框架

网络钓鱼框架的高级使用

使用gophish钓用户账号密码信息

  • 首先,需要配置一个Sending Profiles,与上面的配置一致即可;
  • 其次,配置一个Landing Pages;
# 我随便找了一个地址,导入站点,设置Redirect也为这个地址
http://xnore.com/admin/login.php
网络钓鱼框架
网络钓鱼框架
  • 配置一个模版Email Templates

首先找到一封邮件,查看源代码,复制源代码信息

网络钓鱼框架
网络钓鱼框架
网络钓鱼框架
  • 配置一个Campaigns
网络钓鱼框架

然后去我们的邮箱,点击邮件中的url(备注:我这里gophish的地址由上文的192.* 变化为10.10.10.5)

网络钓鱼框架
网络钓鱼框架
网络钓鱼框架

这个时候如果用户在页面输入了信息,我们来看一下变化

网络钓鱼框架
网络钓鱼框架

网络钓鱼框架 后续玩法

后续可以构建更多的信息来收集是谁点击的,主要是做一个好的网络钓鱼框架登录页面

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注