目录导航
网络钓鱼框架 邮件钓鱼 gophish 通过虚假邮件让访问者中招,获取账号密码 利用伪装的电子邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗
网络钓鱼框架的安装与使用
安全行业开源漏洞扫描器 Scanners Box
Centos7安装gophish
# 下载 wget https://github.com/gophish/gophish/releases/download/0.7.1/gophish-v0.7.1-linux-64bit.zip # 解压并启动 mkdir -p /app/gophish unzip gophish-v0.7.1-linux-64bit.zip -d /app/gophish/ && cd /app/gophish/ # 修改配置文件

# 执行 ./gophish # 访问 https://192.168.199.5:3333/ # 账号:admin 密码:gophish

使用gophish进行钓鱼
- 用户与组信息:Users & Groups
添加员工邮件信息

- 配置邮件模板:Email Templates

- 配置加载页面:Landing Pages

- 配置发件人信息:Sending Profiles

- 测试发件人信息是否正确


- 配置发送信息



网络钓鱼框架的高级使用
使用gophish钓用户账号密码信息
- 首先,需要配置一个Sending Profiles,与上面的配置一致即可;
- 其次,配置一个Landing Pages;
# 我随便找了一个地址,导入站点,设置Redirect也为这个地址 http://xnore.com/admin/login.php


- 配置一个模版Email Templates
首先找到一封邮件,查看源代码,复制源代码信息



- 配置一个Campaigns

然后去我们的邮箱,点击邮件中的url(备注:我这里gophish的地址由上文的192.* 变化为10.10.10.5)



这个时候如果用户在页面输入了信息,我们来看一下变化


网络钓鱼框架 后续玩法
后续可以构建更多的信息来收集是谁点击的,主要是做一个好的网络钓鱼框架登录页面