Gophish钓鱼测试

原创
2020/07/11 23:30
阅读数 9.5K

 wulaoban  社工  2020-06-30

Gophish 是一个功能强大的开源网络钓鱼框架,可以轻松测试组织的网络钓鱼风险,专为企业和渗透测试人员设计

1.下载与安装

官网:https://getgophish.com
项目地址:https://github.com/gophish/gophish/releases
解压赋权并启动
chmod +x gophish
./gophish
配置文件
config.json

以上第一个箭头为gophish客户端的端口
第二个箭头是gophish接受用户反馈监听的端口
都需要放通
设置完成后就可以启动gophish

打开你的服务器Ip地址:3333端口
当看到这个页面为启动成功
默认账号密码
admin /gophish

创建Users & Groups

这个是用来设置你要发送邮件的收件人地址
可以导入csv文档

编辑email template

这个是用来编辑钓鱼邮件的模板
我们可以导入钓鱼模板

landing pages设置钓鱼页面

用来获取用户名和密码

这里我设置为github的登录url
当用户点击后跳转去https://github.com

sending profile

这个是用来设置发件人的邮箱的
这里我使用139的smtp服务器来发送
如果实战可以自己搭建个smtp服务器 然后购买一个跟网站url相似的域名
如baidu.com 买一个ba1du.com 解析到你的smtp服务器上面去

可以点击测试一下是否能送达邮件



可以看到发送成功,成功送达目标邮箱
还可以伪造任意x-mailer头 (如果不设置的话默认是gophish)
x-mailer头表示邮件从哪个客户端发出来的

Campaign

这个就是用来发送钓鱼攻击的地方
设置好发送时间 选择好模板
注意url要填写你服务器监听的端口是真实存在的

发送成功

可以看到邮件里面的链接都被替换成我们的钓鱼网站

模拟用户输入账号密码
点击提交后跳转去正确的github页面

可以看到平台已经接受到用户打开邮件 输入账号密码的时间了

钓鱼成功!


本文分享自微信公众号 - 黑白天(li0981jing)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
0
分享
返回顶部
顶部