Reber's Blog

只会一点点编程、只会一点点渗透

Gophish 钓鱼测试

[Pentest](钓鱼)

0x00 Gophish 使用

  • 配置 Gophish 服务
  • 配置发送邮箱
  • 编写钓鱼邮件内容
  • 编写钓鱼页面
  • 添加目标邮箱
  • 开始攻击

0x01 配置 Gophish 服务

https://github.com/gophish/gophish/releases 下载

然后编辑 config.json,之后直接 ./gophish 运行即可

{
    "admin_server": {
        "listen_url": "0.0.0.0:58001", // Gophish 管理页面
        "use_tls": true,
        "cert_path": "gophish.crt",
        "key_path": "gophish.key"
    },
    "phish_server": {
        "listen_url": "0.0.0.0:58002", // 钓鱼的 web 服务
        "use_tls": false,              // 不使用 tls,web 服务地址为 http://x.x.x.x:58002/
        "cert_path": "gophish.crt",
        "key_path": "gophish.key"
    },
    "db_name": "sqlite3",
    "db_path": "gophish.db",
    "migrations_prefix": "db/db_",
    "contact_address": "",
    "logging": {
        "filename": "",
        "level": ""
    }
}

0x02 配置发送邮箱

Sending Profiles -> New Profile -> 填写相关信息 -> Send Test Email 90 65

收到测试邮件证明配置成功 65

0x03 编写钓鱼邮件内容

添加邮件模版,Add files 可以添加附件 90

其他模版例子 70 70

0x04 编写钓鱼页面

我的一个模版文件:Gophish 钓鱼页面模版.html
可以通过 Source 编写 html,也可以直接通过 url 导入,勾选获取提交的数据,设置用户点击提交数据后跳转的页面 90

0x05 添加目标邮箱

可以一个个添加,也可以通过 csv 文件批量添加 90

0x06 开始攻击

90

用户点击邮件中的链接后如下: 80 80

0x07 查看结果

数据概览

查看详情