Gophish 钓鱼邮件攻击工具部署与使用教程

Gophish 钓鱼邮件攻击工具部署与使用教程

钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

1、Gophish 部署

官方网站：https://getgophish.com/。

软件下载：https://github.com/gophish/gophish/releases。

部署环境：kali（IP 地址：192.168.40.141）。

首先，我们将适合自己系统的 Gophish 包下载到我们的 kali 上，并解压压缩包：

1. wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip
2. unzip gophish-v0.12.1-linux-64bit.zip

列出当前目录下的文件和文件夹：

然后修改配置文件 config.json：

若需要远程访问后台管理界面，将 listen_url 修改为 0.0.0.0:3333，端口可自定义。（这项主要针对于部署在服务器上，因为一般的 Linux 服务器都不会安装可视化桌面，因此需要本地远程访问部署在服务器上的 gophish 后台）。如果仅通过本地访问，保持 127.0.0.1:3333 即可。

所以需要长期保持运行时，可以结合 nohup 与 & 来启动 gophish，保持后台稳定运行：nohup ./gophish &。

'Please login with the username admin and the password 6c9efbd232ff08bb'

然后，访问 https://your-ip:3333/ 即可登录管理后台（注意使用 https 协议）：

首次登录会强制你修改密码，要求八位以上字符，接下来就可以尽情操作了。

进入后台后，左边的栏目即代表各个功能，分别是 Dashboard 仪表板 、Campaigns 钓鱼事件 、Users & Groups 用户和组 、Email Templates 邮件模板 、Landing Pages 钓鱼页面 、Sending Profiles 发件策略六大功能。

由于实际使用中并不是按照该顺序来配置各个功能，因此下面通过实际使用顺序来详细介绍各功能的使用方法。

2、Gophish 配置

Sending Profiles

作用：设置发件人的邮箱。

点击 New Profile 新建一个策略，依次来填写各个字段。（可选）Email Headers 是自定义邮件头字段，例如邮件头的 X-Mailer 字段，若不修改此字段的值，通过 gophish 发出的邮件，其邮件头的 X-Mailer 的值默认为 gophish。

X-Mailer 配置未配置的话邮件发送客户端显示是 gophish：

我们测试或者做钓鱼邮件的安全意识培训可以用公用邮箱，如果是真正的攻击，如果用公用邮箱，太容易辨识了。所以在确定受害者邮箱之后，通常会申请一个形似的邮箱域名，然后搭建邮箱服务器用于钓鱼邮件发送，提升真实性，提高上钩几率。

User&Groups

Landing Pags

钓鱼页面是配合钓鱼邮件使用的，钓鱼邮件的最终目的，通常是通过钓鱼邮件来使受害者点击链接进入精心构造的钓鱼页面，通过钓鱼页面来诱导用户输入敏感信息，如密码等；或者通过钓鱼邮件诱导用户点击下载邮件附件，以此来向受害用户主机植入病毒或木马等。

一般情况下，钓鱼页面都是类似于修改密码或者登录之类的页面，并且要和钓鱼页面所模仿的页面做到尽可能的一样。

整站下载工具：小飞兔：https://www.xftsoft.com/的使用。

下载成功：

代码如下：

<html>
<head>
	<title>钓鱼邮件测试</title>
</head>
<body>
<h1 align="center">钓鱼邮件测试</h1>

<form action="" method="post">
<table>
	<tbody>
		<tr>
			<td>用户名：</td>
			<td><input name="user" type="text" value="" /></td>
			<td>密码：</td>
			<td><input name="passwd" type="password" value="" /></td>
			<td><input name="按钮名字" type="submit" valer="值" /></td>
		</tr>
	</tbody>
</table>
</form>
</body>
</html>

有的时候搞钓鱼邮件应急演练，客户不让你获取他们的密码，只统计受害的人，Capture Passwords。

Email Templates

import Email 勾选了 ChangeLinks to Point to LandingPage 之后，邮件模板中的链接会被替换为钓鱼网站的链接，当目标点击邮件中的链接后，会跳转到后续在 LandingPages 里配置的钓鱼页面里。

Campaigns

Launch Date && Send Emails By

Launch Date 顾名思义是设置发送邮件的时间，可以选择在什么时间发送。

另一个可选项 Send Emails By 是配合 Launch Date 使用的，Send Emails By 代表开始发送时间，Launch Date 代表结束发送时间，所有邮件都会在这个时间段按分钟平均发送。假设这个时间段有 10 分钟，那么 100 封邮件就分成 10 份，每一分钟发 10 份。这样的发件策略可以防止因短时间大量邮件抵达目标邮箱而导致的垃圾邮件检测，甚至发件邮箱服务器 IP 被目标邮箱服务器封禁。

攻击结果查看

跳转至百度（https://www.baidu.com/）界面：

其他参考资料

FREEBUF Jean：https://www.freebuf.com/articles/network/276463.html。

CSDN 大飞先生：

https://blog.csdn.net/m0_63917373/article/details/129931338?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22129931338%22%2C%22source%22%3A%22m0_63917373%22%7D&fromshare=blogdetail。

个人博客 鑫xin哥：https://www.cnblogs.com/xinssblog/articles/15886097.html。

恶意邮件检测

守望者实验室：https://mailscan.watcherlab.com/search。无法访问。

整站下载工具：小飞兔：https://www.xftsoft.com/

实验心得、实验小结

本次实验学习了钓鱼邮件攻击的原理和利用工具 Gophish 进行钓鱼攻击的方法。通过 Gophish 的配置，可以设置发件人邮箱、邮件模板和钓鱼页面等，实现对目标用户的诱导和欺骗。同时，Gophish 还提供了 Campaigns 功能，可以设置发送时间和发送数量，避免被目标邮箱服务器封禁。在实验中，我们还学习了如何使用小飞兔工具进行整站下载，并对钓鱼邮件进行安全意识培训。通过本次实验，我深刻认识到了钓鱼邮件攻击的危害性和防范措施的重要性。