【攻防演练】Gophish最强平替？国产轻量级钓鱼演练平台ApolloFish实战评测

免责声明

本文介绍的 ApolloFish (阿波罗钓鱼演练平台) 仅用于企业内部安全意识培训、授权红蓝对抗演练及网络安全研究。

严禁利用本工具从事网络诈骗、非法窃取信息等任何违法犯罪活动。

请严格遵守《中华人民共和国网络安全法》及相关法律法规。利用本文提供的信息造成的任何直接或间接后果，均由使用者本人承担，本公众号及作者不承担任何责任。

前言

在企业安全建设与红蓝对抗（HVV）中，社会工程学攻击往往是突破边界最有效的手段之一。提到钓鱼演练平台，Gophish 无疑是业界的标杆，但在实际使用中，它往往需要依赖 Docker 环境或复杂的依赖库，且对国产信创环境的支持不够灵活。

近期，一款名为 ApolloFish（阿波罗） 的国产钓鱼演练平台发布了 V1.0.0 版本。该平台主打“实战演练赋能安全意识提升”，最大的亮点在于去Docker化、单文件运行、全平台支持，极大地降低了红队工程师和安全运维人员的部署成本。

核心优势解析

1. 极致的部署体验：零依赖

ApolloFish 彻底摒弃了繁琐的环境配置。它不需要安装 Python、Go 环境，也不需要配置 Docker。用户只需下载对应架构的单文件（二进制/exe），在命令行执行即可运行。

2. 全面的跨平台支持

平台支持 Windows、Linux、macOS 三大主流系统，并且涵盖了 x86 和 ARM 架构。这意味着它不仅可以在普通的服务器上运行，也能完美适配 MacBook (M1/M2) 以及基于 Linux 内核的国产信创系统（如鲲鹏、海光 CPU 环境）。

3. 实战化功能设计

• 网页钓鱼：支持自定义端口、IP/域名访问，支持配置 HTTPS 证书，模拟真实可信的站点。
• 邮件钓鱼：内置 SMTP 发信功能，支持批量导入目标邮箱，实现从发信到落地的全流程闭环。
• 数据追踪：平台能够对员工行为进行全流程追踪，并生成详细的“上钩”记录。

快速上手指南

第一步：下载与运行

根据操作系统架构下载对应的程序文件：

打开命令行工具（CMD），直接运行程序。以 Windows 为例：

ApolloFish_windows_amd64.exe

第二步：获取配置信息

首次运行后，程序会在同级目录下自动生成一个 config.yaml 配置文件。打开该文件，可以查看系统随机生成的后台安全入口、管理员账号及密码。

panel:
    path: 76cd36b...  # 随机生成的安全路径，防止爆破
    port: 3333        # 默认服务端口
    username: 9bqz... # 登录账号
    password: ky9j... # 登录密码

第三步：登录管理后台

打开浏览器，访问配置文件中生成的 URL：http://127.0.0.1:3333/{panel.path}/

登录后即可看到可视化的首页大屏，包含演练数据概览等信息。

进阶功能：模板制作与数据捕获

ApolloFish 在模板制作上拥有极高的自由度，并引入了 AI 辅助生成功能。对于习惯手动编写 HTML 的用户，平台提供了一种极简的数据捕获方式。

1. 网页模板制作规范

在制作钓鱼页面时，建议遵循以下原则以确保最佳效果：

• 内嵌资源：尽量避免使用外部 JS/CSS 链接，防止因网络问题导致页面加载异常。建议使用纯 HTML + 内嵌 CSS 样式。
• 数据捕获机制：无需编写复杂的后端逻辑。平台会自动识别页面中的 input 组件。你只需要在提交按钮上添加属性 onclick="login()"，即可触发数据上报。

HTML 代码示例：

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>系统登录</title>
    <!-- 样式代码省略，建议内嵌 -->
</head>
<body style="background-color: #f5f5f5;">
    <div class="input-container">
        <!-- 平台会自动记录 name 属性对应的值 -->
        姓名：<input type="text" name="username"><br>
        邮箱：<input type="email" name="useremail"><br>
        密码：<input type="password" name="userpwd"><br>
        
        <!-- 关键点：添加 onclick="login()" -->
        <button type="button" onclick="login()">登录</button>
    </div>
</body>
</html>

2. 上钩记录查看

当受害者在钓鱼页面输入信息并点击提交后，管理员可在后台的“上钩记录”模块查看实时数据。点击详情，系统会以 JSON 格式展示用户提交的所有字段信息（如用户名、密码、Token 等）。

总结

ApolloFish 通过简化部署流程和优化操作体验，为企业安全团队提供了一个轻量级、开箱即用的演练方案。特别是对于需要在内网环境快速搭建、或对国产化硬件有要求的场景，它是一个值得尝试的高效工具。

工具下载

GitHub 项目地址：https://github.com/safe1024/apollofish

（注：工具来源于网络，安全性请自行测试。如需在生产环境使用，建议先在隔离环境中进行验证。）

不想错过文章内容？读完请点一下“在看

”，加个“关注”，您的支持是我创作的动力

期待您的一键三连支持（点赞、在看、分享~）