【渗透测试笔记】之【钓鱼姿势——Gophish平台钓鱼】_gopish

仅供学习！切勿用作非法用途！

项目地址

https://github.com/gophish/gophish

搭建过程

1. 下载
   https://github.com/gophish/gophish/tags
2. 修改配置文件

cd gophish-v0.11.0-linux-64bit/
vim config.json
1
2

修改管理页面侦听地址与端口（admin_server为管理页面，phish_server为钓鱼页面）：

3. 运行

chmod +x gophish
nohup ./gophish &
# 后台运行并且不挂起
1
2
3

生成管理密码：

4. 访问管理页面：https://x.x.x.x:60001，使用admin+上面生成的随机密码登录，并修改密码：
   

5. 访问钓鱼页面：http://x.x.x.x
   正常情况（因为还没有配置）：
   

功能介绍

• Sending Profiles发件策略
• Landing Pages钓鱼页面
• Email Templates邮件模板
• Users & Groups用户和组
• Campaigns钓鱼事件
• Dashboard仪表板

Sending Profiles 发件策略

1. 点击创建一个策略：
   

2. 点击发送测试邮件验证smtp是否验证通过：
   

3. 成功发送邮件：
   

最好的方式是使用自己的服务器，申请近似域名，搭建邮件服务器来发件。

Landing Pages 钓鱼页面

Email Templates 钓鱼邮件模板

重点：
邮件内的钓鱼地址要写成：

{{.URL}}
1

的形式，gopish发送邮件的时候会识别替换。
否则会出现404 page not found的情况。
如：

<a href="{{.URL}}">https://www.360.cn/</a>
1

Users & Groups 用户和组

Campaigns 钓鱼事件

如果没有指定时间，点击launch就会立即发送钓鱼邮件：

Dashboard 仪表板

注意这是统计的所有钓鱼事件概览，如果要看单次钓鱼事件点击钓鱼事件后面的查看结果：

静态文件

放入目录：/gophish-v0.11.0-linux-64bit/static/endpoint/1.txt
访问地址：http://127.0.0.1/static/1.txt

演示

1. 伪造某校登录界面（遇到js加载html的情况可以使用Save Page WE插件）：
   

2. 发给好友测试
   

3. 橙色代表打开了邮件，红色代表已经提交了：
   

4. 查看已经提交的密码：
   

5. 可以看见详细统计：
   

参考

https://blog.csdn.net/qq_42939527/article/details/107485116

仅供学习！切勿用作非法用途！