Gophish钓鱼测试

官网：https://getgophish.com
项目地址：https://github.com/gophish/gophish/releases
解压赋权并启动
chmod +x gophish
./gophish
配置文件
config.json

以上第一个箭头为gophish客户端的端口
第二个箭头是gophish接受用户反馈监听的端口
都需要放通
设置完成后就可以启动gophish

打开你的服务器Ip地址:3333端口
当看到这个页面为启动成功
默认账号密码
admin /gophish

这个是用来设置你要发送邮件的收件人地址
可以导入csv文档

这个是用来编辑钓鱼邮件的模板
我们可以导入钓鱼模板

用来获取用户名和密码

这个是用来设置发件人的邮箱的
这里我使用139的smtp服务器来发送
如果实战可以自己搭建个smtp服务器 然后购买一个跟网站url相似的域名
如baidu.com 买一个ba1du.com 解析到你的smtp服务器上面去

可以点击测试一下是否能送达邮件

可以看到发送成功，成功送达目标邮箱
还可以伪造任意x-mailer头 (如果不设置的话默认是gophish)
x-mailer头表示邮件从哪个客户端发出来的

这个就是用来发送钓鱼攻击的地方
设置好发送时间 选择好模板
注意url要填写你服务器监听的端口是真实存在的

发送成功

可以看到邮件里面的链接都被替换成我们的钓鱼网站

模拟用户输入账号密码
点击提交后跳转去正确的github页面

可以看到平台已经接受到用户打开邮件 输入账号密码的时间了

钓鱼成功！