> 资讯
感谢老大Gryph0n授权发布
网络钓鱼攻击手法多种多样,攻击的模拟程度越来越高,真假难辨。 Gophish 是一款专为企业和渗透测试人员设计的开源网络钓鱼工具包。 本文搭建了Gophish钓鱼系统,还原了邮件钓鱼的基本操作流程。 希望从攻击者的角度看到安全的短板,提高安全意识。
0x01 快速搭建GoPhish开源钓鱼系统
Gophish项目地址:
Gophish官网地址:
Gophish自带网页面板,给邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来了极大的便利。
通过实现功能块,安全人员可以更好地理解网络钓鱼工作各部分的原理和应用。
安装包下载:
GoPhish 支持 Windows 和 Linux 平台。 您可以根据自己的喜好选择构建的平台。 只需根据不同的操作系统在github上下载对应的版本即可。 对于本示例,请下载以下版本。
gophish-v0.11.0-linux-64bit.zip
在 Windows 上安装 GoPhish
关于gophish的Windows平台安装包,只有64位。 如果是32位的win可能不兼容。 不过现在的PC大部分都是64位的,所以还是通用的。
下载安装包:
下载gophish-v0.11.0-windows-64bit.zip后,使用压缩工具将其解压到文件夹中。
修改配置文件:
如果需要远程访问gophish的后台管理系统,请修改配置文件。 具体参考Linux下修改gophish配置文件。
使用编辑器打开config.json文件,将listen_url字段的值修改为0.0.0.0:3333(默认为127.0.0.1:3333,仅限本地访问)。 端口可以定制。
0x02 运行GoPhish:
双击该目录下的gophish.exe即可启动gophish。 你需要防止小黑匣子被关闭。 如果它被关闭,脚本将终止。
访问后台管理系统:
本地浏览器访问::3333或远程ip:3333(注意使用https协议)
输入默认密码登录:admin/gophish
注意:最新版本的 gophsih (v0.11.0) 删除了默认密码“gophish”。 相反,当 Gophish 首次启动时,会随机生成初始密码并打印在终端中。
详细信息请参见:
进入钓鱼界面:
本地打开浏览器,访问:80/或远程ip:80/。
至此,gophish在Windows平台的安装、配置和运行就已经完成了。
特征
由于后台管理系统不区分操作系统,因此在介绍各个功能时,不区分Linux和Windows。
进入后台后,左边的栏目代表各个功能,分别是六大功能:Dashboard、Campaigns 钓鱼事件、Users & Groups、Email Templates、Landing Pages 钓鱼页面、Sending Profiles。
由于实际使用中各个功能并不是按照这个顺序配置的,所以下面以实际使用顺序来详细介绍各个功能的使用。
发送配置文件 发送策略
发送配置文件的主要功能是配置用于向 gophish 发送钓鱼邮件的电子邮件地址。
单击新建配置文件以创建新策略并依次填写每个字段。
姓名:
名称字段用于命名新创建的发送策略。 不会影响网络钓鱼的实施。 建议使用发送电子邮件地址作为名称。 例如,如果您使用Outlook邮箱发送钓鱼邮件,则可以写入“名称”字段。
接口类型:
Interface Type 是接口类型。 默认为 SMTP 类型,不可修改。 因此,需要在发送邮件地址中启用SMTP服务。
从:
From 是发件人,即网络钓鱼电子邮件中显示的发件人。 (实际使用中,一般需要伪造近似域名。)为了方便理解,我们暂时以Outlook邮箱为例,所以From字段可以写成:test
主持人:
Host为SMTP服务器地址,格式为:25,例如Outlook邮箱的SMTP服务器地址为。
用户名:
用户名是 SMTP 服务验证的用户名。 如果是Outlook邮箱,用户名就是您自己的Outlook邮箱号码。
密码:
密码是SMTP服务认证的密码,例如Outlook邮箱。 登录Outlook邮箱后,点击设置-账户-启用SMPT服务生成授权码。 密码的值可以填写收到的授权码。
(可选)电子邮件标头:
电子邮件标头是自定义电子邮件标头字段,例如电子邮件标头的 X-Mailer 字段。 如果不修改该字段的值,则通过 gophish 发送的电子邮件,电子邮件标头的 X-Mailer 值将默认为 gophish。
设置完以上字段后,您可以单击“发送测试电子邮件”发送测试电子邮件,以检查 SMTP 服务器是否通过身份验证。
成功收到测试邮件:
至此,外发邮箱的配置已经完成。 当然,在实际钓鱼中,不可能使用自己的Outlook邮箱来发送钓鱼邮件。 一是身份暴露,邮件真实性低。 另外就是Outlook邮箱等第三方邮箱对每个用户每天可以发送的邮件数量有限制。
因此,如果您需要大量发送钓鱼邮件,最好的办法就是使用自己的服务器,申请类似的域名,搭建邮件服务器来发送邮件。
登陆页面钓鱼页面
完成钓鱼邮件的编写后,下一步就是设计邮件中超链接指向的钓鱼网页,点击“新建页面”创建新页面。
姓名:
name用于命名当前创建的钓鱼页面,可以简单命名为钓鱼页面1。
进口网站:
与编辑钓鱼邮件模板一样,gophish 也提供了两种设计钓鱼页面的方法。 首先是导入Site。 点击“导入站点”后,填写伪造网站的URL,然后点击“导入”即可自动通过互联网进行爬取。 获取假冒网站的前端代码
这里我们以疫情期间伪造的个人所得税申报界面为例。 在导入站点中填写登录页面,然后单击导入。
内容编辑框:
内容编辑框是编辑钓鱼页面的第二种方法,但大多数情况下,更多的是用来辅助第一种方法,即修改源代码和预览导入的页面。
由于编码不同,通过导入站直接导入的网站中文部分通常会出现乱码。 这种情况就需要查看源码并手动修改。
(要点)捕获提交的数据:
通常,网络钓鱼的目的是捕获受害者的用户名和密码。 因此,在单击“保存页面”之前,请记住选中“捕获提交的数据”。
当Capture Submitted Data被勾选后,页面上就会多出一个Capture Passwords选项,显然是为了捕获密码。 通常,可以选择选中该框来验证帐户可用性。 如果只是为了测试统计受害用户是否提交数据而不泄露账户隐私,则无需检查。
此外,当选中“捕获提交的数据”时,页面上还会有一个额外的“重定向到”。 其功能是当受害用户点击提交表单时,将页面重定向到指定的URL。 可以填写伪造网站的URL,造成受害者第一次填写错误的账号和密码的感觉。
(一般来说,当登录页面提交的表单数据与数据库不一致时,会在登录页面的URL中添加一个error参数,提示用户用户账号或密码错误,所以在Redirect to中,最好填写错误参数参数URL)
因此,让Redirect to here的值为loginpagerrtype=1。
填写以上参数后点击保存页面即可保存编辑好的钓鱼页面。
0x03 陷阱总结
当将真实网站导入为钓鱼页面时,大多数情况下仅通过导入无法实现理想的克隆。 经过多次实践,总结出以下几点。
【无法抓取提交的数据】导入后,在HTML编辑框的非Source模式下观察源码解析。 如果明显有很多地方没有加载,有可能导入的源码并不是页面完全加载后的前端代码,而是半成品,需要解析两次由浏览器渲染卸载的 DOM。 这种情况下,除非能在页面完全加载后直接爬取前端代码,否则无法使用gophish进行钓鱼。 原因是不满足第2点。
【无法抓取提交的数据】导入的前端源码必须有严格的已有结构,即表单(POST方法)-输入标签(有name属性) 输入标签(提交类型)-表单封闭结构,如果是不满意,无法捕获提交的数据。
【提交的数据无法抓取】满足第2点结构时,仍需包含该结构。 因此,如果遇到新的陷阱,首先要检查结构。 如果还是不行,那就另想办法。
电子邮件模板 网络钓鱼电子邮件模板
完成邮件配置后,您就可以使用gophish发送邮件了。 因此,接下来您需要编写钓鱼电子邮件的内容。
单击“新建模板”创建新的网络钓鱼电子邮件模板并依次填写每个字段。
姓名
同样,该字段用于命名当前创建的网络钓鱼电子邮件模板。
导入电子邮件
gophish 提供了两种编辑电子邮件内容的方法。 第一个是导入电子邮件。
用户可以先在自己的邮箱系统中设计一封钓鱼邮件,然后发送给自己或其他合作伙伴。 他们收到设计好的邮件后,可以打开它并选择导出为eml文件或者显示邮件的原文,然后将内容复制到gophish的Import In Email中,就可以导入设计好的钓鱼邮件了。
需要注意的是,在单击“导入”之前,您需要选中“更改链接以指向登陆页面”。 当钓鱼事件发生时,该功能会自动将电子邮件中的超链接转换为钓鱼网站的URL。
主题
主题是电子邮件的主题。 通常为了提高电子邮件的真实性,你需要自己编一个有吸引力的主题。 此处填写“疫情期间个人纳税申报通知”即可。
内容编辑框:
内容编辑框是编写电子邮件内容的第二种模式。 内容编辑框提供了文本和HTML两种模式来编写电子邮件内容。 使用方法与普通编辑器相同。
其中,HTML模式下的预览功能较为常用。 编辑完内容后,点击“预览”即可清楚地看到邮件的具体内容和格式。
添加跟踪图像
添加跟踪图像是在钓鱼邮件末尾添加跟踪图像,以跟踪受害用户是否打开了收到的钓鱼邮件。 默认情况下会选中它。 如果不检查,将无法追踪受害用户是否打开了钓鱼邮件。 (注:追踪受害用户是否点击钓鱼链接以及捕获提交的数据不受此影响)
添加文件
添加文件就是给发送的邮件添加附件。 首先,它可以添加相关文件以提高电子邮件的真实性。 其次,它可以配合反病毒木马,诱导受害用户下载并打开。
填写完上述字段后,单击“保存模板”保存当前编辑的钓鱼邮件模板。
用户和组 用户和组
当以上三个功能的内容编辑完成后,钓鱼准备工作就完成了80%。 Users & Groups的作用是将钓鱼的目标邮箱地址导入gophish并准备发送。
单击新建组创建新的钓鱼目标用户组。
姓名:
name是当前新建的用户组的名称,这里简单命名为target group 1。
批量导入用户
批量导入用户批量导入用户邮箱。 它通过上传匹配特定模板的CSV文件来批量导入目标用户邮箱。
单击旁边灰色字体的“下载 CSV 模板”可下载特定的 CSV 模板文件。 其中,模板文件的Email为必填项,其余Frist Name、Last Name、Position为选填项。
添加:
除了批量导入目标用户邮箱外,gophish还提供了导入单个邮箱的方法,非常方便在开始钓鱼之前对钓鱼组织进行内部测试。 无需上传繁琐的文件,直接填写电子邮件即可,其余的名字、姓氏和职位都是可选的。
编辑目标用户的电子邮件地址后,单击保存更改,将编辑后的目标电子邮件地址保存在 gophish 中。
钓鱼活动活动
Campaigns的作用是连接以上四个功能Sending Profiles、Email Templates、Landing Pages、Users & Groups,并创建网络钓鱼事件。
在营销活动中,您可以创建新的钓鱼事件,选择编辑好的钓鱼邮件模板和钓鱼页面,通过配置的发送地址将钓鱼邮件发送给目标用户组中的所有用户。
单击“新建活动”以创建新的网络钓鱼事件。
姓名:
name是给新创建的钓鱼事件命名,这里简单命名为第一个钓鱼事件。
电子邮件模板:
电子邮件模板是网络钓鱼电子邮件模板。 这里选择刚刚在上面编辑的网络钓鱼电子邮件模板电子邮件模板 1。
登陆页面:
登陆页面是钓鱼页面。 这里选择刚才编辑的XX系统登录页面的钓鱼页面,名为钓鱼页面1。
(强调)网址:
URL 是用于替换所选钓鱼电子邮件模板中的超链接的值,该值指向部署所选钓鱼页面的 URL。
简单来说,这里的URL需要填写当前运行gophish脚本的主机的IP地址。
因为启动gophish后,gophish默认监听3333和80端口。 3333端口为后台管理系统,80端口用于部署钓鱼页面。
当URL中填写主机IP/时,当前钓鱼事件创建成功。 gophish 将在主机的 80 端口上部署当前钓鱼事件选择的钓鱼页面,并将发送的钓鱼邮件中的所有超链接替换为部署在 80 端口上的钓鱼页面的 URL。
因此,这里的URL填写的是我本地主机当前运行gophish的IP对应的URL,即。
另外,还需要保证该URL在目标用户群的网络环境中是可达的。 例如,如果填写内网IP,则只有内网目标用户才能参与钓鱼事件,外网目标用户将无法访问。 如果gophish部署在公共服务器上,URL填写的是公共IP或域名,则需要保证目标用户的内网环境可以访问公共服务器的IP(有些公司的内网环境会设置防火墙策略为限制内部网络)。 网络用户可以访问的公网IP)。
发射日期:
启动日期是网络钓鱼事件的实施日期。 一般情况下,如果只发送少量邮件,则此项无需修改。 如果您需要发送大量电子邮件,最好使用旁边的发送电子邮件方式。
(可选)通过以下方式发送电子邮件:
Send Emails By 与 Launch Date 结合使用,可以理解为当前钓鱼事件下所有钓鱼邮件发送的时间。 Launch Date 用作开始发送时间,Send Emails By 用作完成发送时间,两者之间的时间将除以所有电子邮件(以分钟为单位)。
例如,“启动日期”的值为 2022.05.22, 09:00,“发送电子邮件依据”的值为 2022.05.22, 09:04。 此网络钓鱼事件需要发送 50 封网络钓鱼电子邮件。
那么经过上述设置后,9:00到9:04就有5个发送点。 这5个发送点均分50封邮件,即每个发送点会发送10封邮件,即每分钟只发送10封邮件。 10 个字母。
这样做的好处是,当需要发送大量钓鱼邮件,而发送邮件服务器不限制每分钟发送的邮件数量时,该设置可以限制钓鱼邮件的无限制发送,从而防止钓鱼邮件的到来。短时间内收到大量电子邮件。 目标邮箱引起的垃圾邮件检测,甚至发送邮箱服务器IP也被目标邮箱服务器屏蔽。
发送简介:
发送配置文件是发送策略。 在这里,选择刚刚编辑的发送策略。
团体:
Groups是接收钓鱼邮件的目标用户组。 这里选择刚才编辑的目标用户组,名为Target 1 Group。
填写完上述字段并点击启动活动后,就会创建该钓鱼事件(注意:如果不修改启动日期,默认情况下,钓鱼事件创建后会立即发送钓鱼邮件)。
仪表板 仪表板
当网络钓鱼事件发生时,仪表板将自动开始统计数据。 统计数据项包括邮件发送成功数及率、邮件打开数及率、钓鱼链接被点击数及率、账号及密码数据提交数及率、提交次数及率等。收到的电子邮件报告的数量。 。 此外,还有一个时间线,记录每个行为发生的时间。
关于电子邮件报告,请参阅:
需要说明的是,Dashboard统计的是所有钓鱼事件的数据,而不是单个钓鱼事件的数据。 如果您只需要查看单个钓鱼事件的统计信息,您可以在营销活动中找到该钓鱼事件,然后单击“查看结果”按钮进行查看。
0x04第一次钓鱼:
至此,在gophish上发起钓鱼事件所需的所有步骤都已完成,现在就等待鱼儿上钩了。
查看捕获的数据
模拟目标用户的行为,打开上面发送的钓鱼邮件。
单击超链接
跳转到部署的钓鱼页面,发现和真实的登录界面没有什么区别。 (可以通过手动替换解决乱码问题)观察网站URL,可以看到钓鱼邮件中的超链接指向了之前创建新Campaign表单中填写的URL,但多了一个删除最后的参数。 这里的?rid=csF1qTj是唯一的,即唯一指向打开的钓鱼邮件。 换句话说,csF1qTj 被唯一分配给该电子邮件的收件人。
如果此名为“First Phishing”的活动选择的目标有多个目标邮箱,gophish 将为每个目标电子邮件分配一个唯一的 Rid 值,以区分不同的收件人。
输入用户名和密码,test/test然后点击提交
点击提交后,部署的钓鱼页面会重定向到真实系统页面,并添加错误参数errtype=1,从而提示账号或密码错误,从而迷惑受害用户。
在 gophish 中查看捕获的数据
单击“活动”- 选择第一次钓鱼的“查看结果”按钮- 展开“详细信息”- 展开“提交的数据”。
您可以看到钓鱼页面提交的账户和密码信息。
以上就是gophish功能面板中所有功能的介绍。 通过学习和利用以上功能,您已经可以实现更基本的网络钓鱼了。 发送配置文件 - 登陆页面 - 电子邮件模板 - 用户和组 - 活动 - 仪表板的顺序也是实际使用中需要遵循的顺序。 如果上一步配置不正确,将会影响后续的功能,达不到预期的效果。 因此,严格遵循这一步,不仅可以事半功倍,而且至少可以避免在成为“渔夫”的路上迷失方向。
0x05实际案例
一旦熟悉了以上功能,虽然可以进行简单的网络钓鱼,但对于模拟性和可信度要求较高的网络钓鱼来说,还是不够的。 一般来说,有一定网络安全意识的人是不会上钩的,所以我们通过一个实际案例来看看,对于常规的网络钓鱼攻击,还需要做哪些额外的工作。
集团应邀要求对旗下子公司人员进行为期三天的网络钓鱼活动,以提高员工的网络安全意识,避免在实际硬件操作中因网络钓鱼而导致系统受到攻击。 于是,一场漫长的钓鱼计划开始秘密策划……
因为涉及到公司信息,所以用文字描述。 主要是学习一些方法和方法,为实际需要提供一些思路。 本文提及的所有方法均应在获得授权的情况下进行,并确保它们仅用于提高员工安全意识的目的。 我们再次提醒您,所有未经授权的网络攻击都是非法的,互联网不是非法场所。
前期准备
大概域名:
经过一番查找,我们锁定了子公司门户的登录功能,并打算利用其来钓鱼员工的OA门户账号密码。为了提高可信度,我们根据门户网站的域名申请了一个近似的域名。 由于i的大写I在某些字体下看起来与门户网站的l(L)相同,因此可以达到一定的模拟效果。
设置电子邮件服务器:
当我们得到大概的域名后,我们将域名映射到服务器上。 然后我在服务器上使用postfix+dovecot搭建了邮箱服务。 因为我只需要发信,所以只启用了SMTP服务。 这样,我们就可以像发件人一样发送电子邮件。 当然,客户公司的电子邮件系统帐户是形式,因此可以达到假冒的效果。
选择电子邮件主题:
经过一番信息收集,我们找到了客户公司近期推广新的信息披露系统的通知,并附上了信息披露系统的网址(无需身份认证),因此我们可以用它来编辑一封主题为“信函”的信函。对于宣传新信息披露系统的钓鱼邮件,诱导公司员工先通过我们的钓鱼页面登录OA门户,然后重定向至新信息披露系统。 这样就可以捕获员工的OA账号密码,有效降低嫌疑程度,形成闭环。
识别发件人:
当我们几乎准备好后,客户向我们发送了一份员工和部门电子邮件地址列表。 经过筛选和考虑公司情况,我们确定了一个技术部门的邮箱地址,并冒充“信息技术部”发送钓鱼邮件,确保钓鱼邮件的发送。 电子邮件的权威性和可信度
配置gophish
将门户页面、钓鱼邮件模板、目标用户邮箱导入gophisih并保存,并在发送配置文件中配置我们内置的邮箱服务,使其能够正常发送,不会被扔进垃圾箱、过滤箱等。
配置完成后,创建钓鱼事件。 由于发送量较大,需要设置“发送邮件方式”来限制每分钟发送的邮件数量。 我们将速度设置为 10 封电子邮件/分钟,以避免被识别为垃圾邮件。
完成所有字段后,启动网络钓鱼事件并慢慢开始发送网络钓鱼电子邮件......
查看钓鱼结果
虽然只有46个用户上钩,占邮件发送量的2%,但在真实场景中,即使是一个真实用户上钩,也足以对系统造成巨大威胁。 这就是为什么社会工程可以成为一种重要的攻击手段。
- 上一篇: 假冒电子邮件网络钓鱼,你需要知道的秘密!
- 下一篇: 淡水鲈鱼多少钱一磅? 它和鲈鱼有什么不同?
猜你喜欢
- 2023-12-08 淡水鲈鱼多少钱一磅? 它和鲈鱼有什么不同?
- 2023-12-08 假冒电子邮件网络钓鱼,你需要知道的秘密!
- 2023-12-08 澳大利亚肺鱼 干鱼存活了5年,入水后立即复活。 非洲肺鱼到底有多神奇?
- 2023-12-08 金枪鱼的营养价值和禁忌
- 2023-12-08 金枪鱼来自哪个国家? 有哪些品种?
- 2023-12-08 金枪鱼的营养价值与功效 金枪鱼的10大功效
- 2023-12-08 鱼竿品牌排名
- 2023-12-08 渔具十大品牌(鱼竿十大品牌推荐排名)
- 2023-12-08 如何区分巴西龟雌雄(巴西龟雌雄图解)