测试人员如何使用SniperPhish进行电子邮件钓鱼

关于SniperPhish

SniperPhish是一款专为渗透测试人员以及安全研究专家设计的网络钓鱼研究工具，其主要目的是为了通过模拟真实场景中的网络钓鱼攻击来提升用户的安全保护意识。SniperPhish可以将研究人员创建的钓鱼网站和钓鱼邮件绑定在一起，以实现集中跟踪用户的行为。该工具的设计是为了帮助执行专业的网络钓鱼活动，因此请广大用户在获取到目标组织许可的情况下使用SniperPhish。

主要功能

网页跟踪器代码生成-独立跟踪网站访问和表单提交；

创建和计划网络钓鱼邮件活动；

将钓鱼网站与电子邮件活动结合起来进行集中跟踪；

一个独立的“简单跟踪器”模块，用于快速跟踪电子邮件或网页访问；

高级报告生成，根据所需的跟踪数据生成报告；

自定义跟踪消息中的图像和动态二维码；

跟踪钓鱼邮件回复；

工具安装

首秀按，我们需要使用下列命令将该项目源码克隆至本地，并将其放入Web服务器的根目录下：

git clone https://github.com/GemGeorge/SniperPhish.git
1

接下来，在浏览器中打开下列地址：

http://localhost/install
1

按照操作步骤安装完成之后，打开下列地址即可登录SniperPhish（用户名：admin，密码：sniperphish）：

http://localhost/spear
1

创建Web钓鱼邮件活动

创建一个Web跟踪器

使用你喜欢的编程语言设计你的钓鱼网站，确保HTML字段中有唯一的“id”和“name”值，比如说text字段和checkbox等。

点击“Web Tracker -> New Tracker”生成Web跟踪器代码，“Web Pages”标签页中会列出你需要跟踪的页面。

从输出结果中拷贝生成好的JavaScript链接，并将其添加至每一个Web页面的相应位置。

最后，保存创建好的跟踪器。此时跟踪器将被激活并在后台执行监听。

创建一个网络钓鱼活动

点击“Email Campaign -> User Group”并添加目标用户。

点击“Email Campaign -> Sender List”并配置邮件服务器信息。

点击“Email Campaign -> Email
Template”并创建钓鱼邮件模板。添加好钓鱼网站链接之后，确保在结尾处添加“?cid={{CID}}”，这样做是为了区分目标用户，比如说：http://yourphishingsite.com/login?cid={{CID}}。

点击“Email Campaign -> Campaign List -> New Mail Campaign”，并填写完相关信息以创建钓鱼活动。

完成上述操作之后，开启钓鱼邮件活动即可。

查看绑定的Web钓鱼邮件结果

打开“Web-MailCamp Dashboard -> Select Campaign”，选择“Mail Campaign”以及我们所创建的“Web
Tracker”：

工具运行截图

项目地址

SniperPhish： https://github.com/GemGeorge/SniperPhish

参考资料

https://sniperphish.com/

https://demo.sniperphish.com/spear/

)

https://demo.sniperphish.com/spear/

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里