Gophish钓鱼测试

wulaoban 社工 2020-06-30

Gophish 是一个功能强大的开源网络钓鱼框架,可以轻松测试组织的网络钓鱼风险,专为企业和渗透测试人员设计

1.下载与安装

官网:https://getgophish.com
项目地址:https://github.com/gophish/gophish/releases
解压赋权并启动
chmod +x gophish
./gophish
配置文件
config.json
以上第一个箭头为gophish客户端的端口
第二个箭头是gophish接受用户反馈监听的端口
都需要放通
设置完成后就可以启动gophish
打开你的服务器Ip地址:3333端口
当看到这个页面为启动成功
默认账号密码
admin /gophish

创建Users & Groups

这个是用来设置你要发送邮件的收件人地址
可以导入csv文档

编辑email template

这个是用来编辑钓鱼邮件的模板
我们可以导入钓鱼模板

landing pages设置钓鱼页面

用来获取用户名和密码

这里我设置为github的登录url 当用户点击后跳转去https://github.com

sending profile

这个是用来设置发件人的邮箱的
这里我使用139的smtp服务器来发送
如果实战可以自己搭建个smtp服务器 然后购买一个跟网站url相似的域名
如baidu.com 买一个ba1du.com 解析到你的smtp服务器上面去
可以点击测试一下是否能送达邮件
可以看到发送成功,成功送达目标邮箱
还可以伪造任意x-mailer头 (如果不设置的话默认是gophish)
x-mailer头表示邮件从哪个客户端发出来的

Campaign

这个就是用来发送钓鱼攻击的地方
设置好发送时间 选择好模板
注意url要填写你服务器监听的端口是真实存在的
发送成功
可以看到邮件里面的链接都被替换成我们的钓鱼网站
模拟用户输入账号密码
点击提交后跳转去正确的github页面
可以看到平台已经接受到用户打开邮件 输入账号密码的时间了
钓鱼成功!

本文分享自微信公众号 - 黑白天(HBT-SEC),作者:akevin

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Linux部署DNS服务器

    DNS(Domain Name System–域名系统),是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。是一...

    黑白天安全
  • Burp之Collaborator使用技巧

    在我们进行渗透测试的时候,可能会遇到这种情况,测试xss的时候插入了脚本,无法立即触发,例如提交反馈表单,需要等管理员打开查看提交信息时才会触发,或者是无回显的...

    黑白天安全
  • Swaks伪造邮件发件人绕过SPF

    设置正确的 SPF 记录可以提高邮件系统发送外域邮件的成功率,也可以一定程度上防止别人假冒你的域名发邮件。

    黑白天安全
  • 社会工程学之钓鱼攻击

    钓鱼攻击是社会工程学攻击的一种方式。钓鱼攻击使用电子邮件或者恶意网站诱骗人们提供个人信息(通常是金融信息)。

    周俊辉
  • isObject

    公众号@魔术师卡颂
  • Python与seo工具脚本,360/搜狗相关搜索词采集源码参考

    搜索引擎相关搜索词应该是不少seoer在寻找和选择使用的关键词拓展类别,除开热门的百度相关搜索词采集,当然还有360搜索引擎以及搜狗搜索引擎,当然知道方法以后,...

    二爷
  • 钓鱼骗局:通过伪造App Store支付链接误导用户

    网络犯罪目前又将目标指向苹果用户,他们通过更加成熟的钓鱼手法,引导用户点击一个支付退款链接,由此获取用户个人敏感数据。 钓鱼的前期-引导用户进入“陷阱” 这种新...

    FB客服
  • 在Excel中处理和使用地理空间数据(如POI数据)

    因为不是所有规划相关人员,都熟悉GIS软件,或者有必要熟悉GIS软件,所以可能我们得寻求另一种方法,去简单地、快速地处理和使用地理空间数据——所幸,我们可以通过...

    Sidchen
  • electron-vue打包不同平台的安装包

    薛定喵君
  • svg矢量图绘制以及转换为Android可用的VectorDrawable资源

    项目需要 要在快速设置面板里显示一个VoWiFi图标(为了能够区分出来图形,我把透明的背景填充为黑色了) ? 由于普通图片放大后容易失真,这里我们最好用矢量图(...

    庞小明

扫码关注云+社区

领取腾讯云代金券