gophis钓鱼
本文为windows用法
下载安装
项目地址:https://github.com/gophish/gophish
下载解压完成
修改配置文件
将admin中listenurl:改为0.0.0.0:3333
运行,运行的cmd命令窗口不要关闭
若是闪退,查找自己的80端口是否被占用,关闭该应用就行
打开网页 https://ip:3333
用户名:admin 密码在运行文件的时候会给出
登录后,会让我们直接改密码
页面
里面主要使用的有如下几个模块:
Dashboard 仪表盘,展示已发动的攻击情况和受害者信息
Campaigns 在此配置每次要发起的攻击
Users& Groups 在此设置目标受害者的邮箱
EmailTemplates 在此设置钓鱼邮件的模板
LandingPages 要在此设置钓鱼页面模板
SendingProfiles 在此配置发送钓鱼邮件的邮箱
Dashboard 仪表盘,展示已发动的攻击情况和受害者信息
Campaigns 在此配置每次要发起的攻击
Users& Groups 在此设置目标受害者的邮箱
EmailTemplates 在此设置钓鱼邮件的模板
LandingPages 要在此设置钓鱼页面模板
SendingProfiles 在此配置发送钓鱼邮件的邮箱
在浏览器中输入 http://ip:80
我们什么都没写,所以这是我们最初始的钓鱼界面
邮箱配置
以 qq 邮箱为例
将授权码进行添加
点击 send test email 测试邮件能否发送
填写收件人地址
需要填写正确邮箱
在邮箱找到了邮件
发送邮箱的配置已经完成了
正常钓鱼一般不使用qq邮箱,容易暴露,可以使用自己搭建相似的邮箱服务器来发送。
配置钓鱼页面
Landing Pages->New Pages
Redirct to:点击提交页面后跳转的 url,一般为真实页面,我任意添加一个
<!DOCTYPE html>
<html>
<head>
<title>个人信息提交表单</title>
<style>
/* 添加一些样式来美化表单 */
body {
font-family: Arial, sans-serif;
background-color: #f4f4f4;
}
.container {
max-width: 400px;
margin: 0 auto;
padding: 20px;
background-color: #ffffff;
border-radius: 5px;
box-shadow: 0 0 10px rgba(0, 0, 0, 0.1);
}
h2 {
text-align: center;
color: #333333;
}
label {
display: block;
margin-bottom: 10px;
color: #666666;
}
input[type="text"],
input[type="password"] {
width: 100%;
padding: 10px;
border: 1px solid #cccccc;
border-radius: 3px;
}
input[type="submit"] {
width: 100%;
padding: 10px;
margin-top: 20px;
background-color: #4caf50;
border: none;
color: #ffffff;
font-size: 16px;
font-weight: bold;
cursor: pointer;
border-radius: 3px;
}
input[type="submit"]:hover {
background-color: #45a049;
}
</style>
</head>
<body>
<div class="container">
<h2>个人信息提交</h2>
<form action="#" method="post">
<label for="account">账号:</label>
<input type="text" id="account" name="account" required>
<label for="password">密码:</label>
<input type="password" id="password" name="password" required>
<label for="idCard">xxx 号:</label>
<input type="text" id="idCard" name="idCard" required>
<label for="bankCard">xxx 号:</label>
<input type="text" id="bankCard" name="bankCard" required>
<input type="submit" value="提交">
</form>
</div>
</body>
</html>
也可以使用远程克隆获取页面源码自动生成源码,填写要克隆的页面地址即可
输入想要的网站
淘宝链接
预览
配置钓鱼邮件模板
邮件模板创建方式 1
在 email Templates 这个功能中,新建一个新的邮件正文模板
<html>
<head>
<title></title>
</head>
<body>
<p _msthash="134" _msttexthash="5454917">hello</p>
<div><a _msthash="135" _msttexthash="8201531" href="{{.URL}}">rest 密码</a></div>
{{.Tracker}}</body>
</html>邮件模板创建方式 2
gophish 为编辑邮件内容提供了 import Email 这种方式
打开自己的qq邮箱,写一份信,收件人为自己,在正文插入一个链接,我随便写了一个,正常钓鱼的话添加钓鱼的页面
发送,打开刚刚的邮件并选择导出 eml 文件或者显示邮件原文
复制邮件原文内容
点击importEmail,将以上内容复制到gofish中
自动导入邮件模板,会自动替换替换其中超链接
如果中文乱码,先保存,然后再修改模板,就可以看到html源码,在其中进行修改为中文字符即可解决。
保存
配置收件人
Users$Groups的作用就是将钓鱼的目标邮箱导入gophish中准备发送
点击NewGroup后新建一个钓鱼的目标用户组
BulkImportUsers是批量导入用户邮箱,它通过上传符合特定模板的CSV文件来批量导
入目标用户邮箱
点击旁边灰色字体的DownloadCSVTemplate可以下载特定的CSV模板文件。其中,模
板文件的Email是必填项,其余的FristName、LastName、Position可选填
发起钓鱼攻击
点开左侧的Users&Groups用户和组,再点击NewGroup新建一个钓鱼攻击。
Name:就是当前新建用户组的命名
EmailTemplate:选择转钓鱼页面
LandingPage:选择钓鱼页面
URL:是用来替换选定钓鱼邮件模板中超链接的值,该值指向部署了选定钓鱼页面的url网址。
LaunchDate:不用动
SendingProfile:选择qq邮箱
Groups:选择users
配置好后点击“Launchcampaign”就可以发起一次钓鱼邮件攻击
收到了邮件
受害者点击邮箱连接,输入账号密码后,这次实验就已经全部结束了