钓鱼邮件Gophish系统实用指南

感谢老大Gryph0n授权发布

网络钓鱼攻击手法多种多样，攻击的模拟程度越来越高，真假难辨。 Gophish 是一款专为企业和渗透测试人员设计的开源网络钓鱼工具包。 本文搭建了Gophish钓鱼系统，还原了邮件钓鱼的基本操作流程。 希望从攻击者的角度看到安全的短板，提高安全意识。

0x01 快速搭建GoPhish开源钓鱼系统

Gophish项目地址：

Gophish官网地址：

Gophish自带网页面板，给邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来了极大的便利。

通过实现功能块，安全人员可以更好地理解网络钓鱼工作各部分的原理和应用。

安装包下载：

GoPhish 支持 Windows 和 Linux 平台。 您可以根据自己的喜好选择构建的平台。 只需根据不同的操作系统在github上下载对应的版本即可。 对于本示例，请下载以下版本。

gophish-v0.11.0-linux-64bit.zip

在 Windows 上安装 GoPhish

关于gophish的Windows平台安装包，只有64位。 如果是32位的win可能不兼容。 不过现在的PC大部分都是64位的，所以还是通用的。

下载安装包：

下载gophish-v0.11.0-windows-64bit.zip后，使用压缩工具将其解压到文件夹中。

修改配置文件：

如果需要远程访问gophish的后台管理系统，请修改配置文件。 具体参考Linux下修改gophish配置文件。

使用编辑器打开config.json文件，将listen_url字段的值修改为0.0.0.0:3333（默认为127.0.0.1:3333，仅限本地访问）。 端口可以​​定制。

0x02 运行GoPhish：

双击该目录下的gophish.exe即可启动gophish。 你需要防止小黑匣子被关闭。 如果它被关闭，脚本将终止。

访问后台管理系统：

本地浏览器访问::3333或远程ip:3333（注意使用https协议）

输入默认密码登录：admin/gophish

注意：最新版本的 gophsih (v0.11.0) 删除了默认密码“gophish”。 相反，当 Gophish 首次启动时，会随机生成初始密码并打印在终端中。

详细信息请参见：

进入钓鱼界面：

本地打开浏览器，访问：80/或远程ip:80/。

至此，gophish在Windows平台的安装、配置和运行就已经完成了。

特征

由于后台管理系统不区分操作系统，因此在介绍各个功能时，不区分Linux和Windows。

进入后台后，左边的栏目代表各个功能，分别是六大功能：Dashboard、Campaigns 钓鱼事件、Users & Groups、Email Templates、Landing Pages 钓鱼页面、Sending Profiles。

由于实际使用中各个功能并不是按照这个顺序配置的，所以下面以实际使用顺序来详细介绍各个功能的使用。

发送配置文件 发送策略

发送配置文件的主要功能是配置用于向 gophish 发送钓鱼邮件的电子邮件地址。

单击新建配置文件以创建新策略并依次填写每个字段。

姓名：

名称字段用于命名新创建的发送策略。 不会影响网络钓鱼的实施。 建议使用发送电子邮件地址作为名称。 例如，如果您使用Outlook邮箱发送钓鱼邮件，则可以写入“名称”字段。

接口类型：

Interface Type 是接口类型。 默认为 SMTP 类型，不可修改。 因此，需要在发送邮件地址中启用SMTP服务。

从：

From 是发件人，即网络钓鱼电子邮件中显示的发件人。 （实际使用中，一般需要伪造近似域名。）为了方便理解，我们暂时以Outlook邮箱为例，所以From字段可以写成：test

主持人：

Host为SMTP服务器地址，格式为：25，例如Outlook邮箱的SMTP服务器地址为。

用户名：

用户名是 SMTP 服务验证的用户名。 如果是Outlook邮箱，用户名就是您自己的Outlook邮箱号码。

密码：

密码是SMTP服务认证的密码，例如Outlook邮箱。 登录Outlook邮箱后，点击设置-账户-启用SMPT服务生成授权码。 密码的值可以填写收到的授权码。

（可选）电子邮件标头：

电子邮件标头是自定义电子邮件标头字段，例如电子邮件标头的 X-Mailer 字段。 如果不修改该字段的值，则通过 gophish 发送的电子邮件，电子邮件标头的 X-Mailer 值将默认为 gophish。

设置完以上字段后，您可以单击“发送测试电子邮件”发送测试电子邮件，以检查 SMTP 服务器是否通过身份验证。

成功收到测试邮件：

至此，外发邮箱的配置已经完成。 当然，在实际钓鱼中，不可能使用自己的Outlook邮箱来发送钓鱼邮件。 一是身份暴露，邮件真实性低。 另外就是Outlook邮箱等第三方邮箱对每个用户每天可以发送的邮件数量有限制。

因此，如果您需要大量发送钓鱼邮件，最好的办法就是使用自己的服务器，申请类似的域名，搭建邮件服务器来发送邮件。

登陆页面钓鱼页面

完成钓鱼邮件的编写后，下一步就是设计邮件中超链接指向的钓鱼网页，点击“新建页面”创建新页面。

姓名：

name用于命名当前创建的钓鱼页面，可以简单命名为钓鱼页面1。

进口网站：

与编辑钓鱼邮件模板一样，gophish 也提供了两种设计钓鱼页面的方法。 首先是导入Site。 点击“导入站点”后，填写伪造网站的URL，然后点击“导入”即可自动通过互联网进行爬取。 获取假冒网站的前端代码

这里我们以疫情期间伪造的个人所得税申报界面为例。 在导入站点中填写登录页面，然后单击导入。

内容编辑框：

内容编辑框是编辑钓鱼页面的第二种方法，但大多数情况下，更多的是用来辅助第一种方法，即修改源代码和预览导入的页面。

由于编码不同，通过导入站直接导入的网站中文部分通常会出现乱码。 这种情况就需要查看源码并手动修改。

（要点）捕获提交的数据：

通常，网络钓鱼的目的是捕获受害者的用户名和密码。 因此，在单击“保存页面”之前，请记住选中“捕获提交的数据”。

当Capture Submitted Data被勾选后，页面上就会多出一个Capture Passwords选项，显然是为了捕获密码。 通常，可以选择选中该框来验证帐户可用性。 如果只是为了测试统计受害用户是否提交数据而不泄露账户隐私，则无需检查。

此外，当选中“捕获提交的数据”时，页面上还会有一个额外的“重定向到”。 其功能是当受害用户点击提交表单时，将页面重定向到指定的URL。 可以填写伪造网站的URL，造成受害者第一次填写错误的账号和密码的感觉。

（一般来说，当登录页面提交的表单数据与数据库不一致时，会在登录页面的URL中添加一个error参数，提示用户用户账号或密码错误，所以在Redirect to中，最好填写错误参数参数URL）

因此，让Redirect to here的值为loginpagerrtype=1。

填写以上参数后点击保存页面即可保存编辑好的钓鱼页面。

0x03 陷阱总结

当将真实网站导入为钓鱼页面时，大多数情况下仅通过导入无法实现理想的克隆。 经过多次实践，总结出以下几点。

【无法抓取提交的数据】导入后，在HTML编辑框的非Source模式下观察源码解析。 如果明显有很多地方没有加载，有可能导入的源码并不是页面完全加载后的前端代码，而是半成品，需要解析两次由浏览器渲染卸载的 DOM。 这种情况下，除非能在页面完全加载后直接爬取前端代码，否则无法使用gophish进行钓鱼。 原因是不满足第2点。

【无法抓取提交的数据】导入的前端源码必须有严格的已有结构，即表单（POST方法）-输入标签（有name属性） 输入标签（提交类型）-表单封闭结构，如果是不满意，无法捕获提交的数据。

【提交的数据无法抓取】满足第2点结构时，仍需包含该结构。 因此，如果遇到新的陷阱，首先要检查结构。 如果还是不行，那就另想办法。

电子邮件模板 网络钓鱼电子邮件模板

完成邮件配置后，您就可以使用gophish发送邮件了。 因此，接下来您需要编写钓鱼电子邮件的内容。

单击“新建模板”创建新的网络钓鱼电子邮件模板并依次填写每个字段。

姓名

同样，该字段用于命名当前创建的网络钓鱼电子邮件模板。

导入电子邮件

gophish 提供了两种编辑电子邮件内容的方法。 第一个是导入电子邮件。

用户可以先在自己的邮箱系统中设计一封钓鱼邮件，然后发送给自己或其他合作伙伴。 他们收到设计好的邮件后，可以打开它并选择导出为eml文件或者显示邮件的原文，然后将内容复制到gophish的Import In Email中，就可以导入设计好的钓鱼邮件了。

需要注意的是，在单击“导入”之前，您需要选中“更改链接以指向登陆页面”。 当钓鱼事件发生时，该功能会自动将电子邮件中的超链接转换为钓鱼网站的URL。

主题

主题是电子邮件的主题。 通常为了提高电子邮件的真实性，你需要自己编一个有吸引力的主题。 此处填写“疫情期间个人纳税申报通知”即可。

内容编辑框：

内容编辑框是编写电子邮件内容的第二种模式。 内容编辑框提供了文本和HTML两种模式来编写电子邮件内容。 使用方法与普通编辑器相同。

其中，HTML模式下的预览功能较为常用。 编辑完内容后，点击“预览”即可清楚地看到邮件的具体内容和格式。

添加跟踪图像

添加跟踪图像是在钓鱼邮件末尾添加跟踪图像，以跟踪受害用户是否打开了收到的钓鱼邮件。 默认情况下会选中它。 如果不检查，将无法追踪受害用户是否打开了钓鱼邮件。 （注：追踪受害用户是否点击钓鱼链接以及捕获提交的数据不受此影响）

添加文件

添加文件就是给发送的邮件添加附件。 首先，它可以添加相关文件以提高电子邮件的真实性。 其次，它可以配合反病毒木马，诱导受害用户下载并打开。

填写完上述字段后，单击“保存模板”保存当前编辑的钓鱼邮件模板。

用户和组 用户和组

当以上三个功能的内容编辑完成后，钓鱼准备工作就完成了80%。 Users & Groups的作用是将钓鱼的目标邮箱地址导入gophish并准备发送。

单击新建组创建新的钓鱼目标用户组。

姓名：

name是当前新建的用户组的名称，这里简单命名为target group 1。

批量导入用户

批量导入用户批量导入用户邮箱。 它通过上传匹配特定模板的CSV文件来批量导入目标用户邮箱。

单击旁边灰色字体的“下载 CSV 模板”可下载特定的 CSV 模板文件。 其中，模板文件的Email为必填项，其余Frist Name、Last Name、Position为选填项。

添加：

除了批量导入目标用户邮箱外，gophish还提供了导入单个邮箱的方法，非常方便在开始钓鱼之前对钓鱼组织进行内部测试。 无需上传繁琐的文件，直接填写电子邮件即可，其余的名字、姓氏和职位都是可选的。

编辑目标用户的电子邮件地址后，单击保存更改，将编辑后的目标电子邮件地址保存在 gophish 中。

钓鱼活动活动

Campaigns的作用是连接以上四个功能Sending Profiles、Email Templates、Landing Pages、Users & Groups，并创建网络钓鱼事件。

在营销活动中，您可以创建新的钓鱼事件，选择编辑好的钓鱼邮件模板和钓鱼页面，通过配置的发送地址将钓鱼邮件发送给目标用户组中的所有用户。

单击“新建活动”以创建新的网络钓鱼事件。

姓名：

name是给新创建的钓鱼事件命名，这里简单命名为第一个钓鱼事件。

电子邮件模板：

电子邮件模板是网络钓鱼电子邮件模板。 这里选择刚刚在上面编辑的网络钓鱼电子邮件模板电子邮件模板 1。

登陆页面：

登陆页面是钓鱼页面。 这里选择刚才编辑的XX系统登录页面的钓鱼页面，名为钓鱼页面1。

（强调）网址：

URL 是用于替换所选钓鱼电子邮件模板中的超链接的值，该值指向部署所选钓鱼页面的 URL。

简单来说，这里的URL需要填写当前运行gophish脚本的主机的IP地址。

因为启动gophish后，gophish默认监听3333和80端口。 3333端口为后台管理系统，80端口用于部署钓鱼页面。

当URL中填写主机IP/时，当前钓鱼事件创建成功。 gophish 将在主机的 80 端口上部署当前钓鱼事件选择的钓鱼页面，并将发送的钓鱼邮件中的所有超链接替换为部署在 80 端口上的钓鱼页面的 URL。

因此，这里的URL填写的是我本地主机当前运行gophish的IP对应的URL，即。

另外，还需要保证该URL在目标用户群的网络环境中是可达的。 例如，如果填写内网IP，则只有内网目标用户才能参与钓鱼事件，外网目标用户将无法访问。 如果gophish部署在公共服务器上，URL填写的是公共IP或域名，则需要保证目标用户的内网环境可以访问公共服务器的IP（有些公司的内网环境会设置防火墙策略为限制内部网络）。 网络用户可以访问的公网IP）。

发射日期：

启动日期是网络钓鱼事件的实施日期。 一般情况下，如果只发送少量邮件，则此项无需修改。 如果您需要发送大量电子邮件，最好使用旁边的发送电子邮件方式。

（可选）通过以下方式发送电子邮件：

Send Emails By 与 Launch Date 结合使用，可以理解为当前钓鱼事件下所有钓鱼邮件发送的时间。 Launch Date 用作开始发送时间，Send Emails By 用作完成发送时间，两者之间的时间将除以所有电子邮件（以分钟为单位）。

例如，“启动日期”的值为 2022.05.22, 09:00，“发送电子邮件依据”的值为 2022.05.22, 09:04。 此网络钓鱼事件需要发送 50 封网络钓鱼电子邮件。

那么经过上述设置后，9:00到9:04就有5个发送点。 这5个发送点均分50封邮件，即每个发送点会发送10封邮件，即每分钟只发送10封邮件。 10 个字母。

这样做的好处是，当需要发送大量钓鱼邮件，而发送邮件服务器不限制每分钟发送的邮件数量时，该设置可以限制钓鱼邮件的无限制发送，从而防止钓鱼邮件的到来。短时间内收到大量电子邮件。 目标邮箱引起的垃圾邮件检测，甚至发送邮箱服务器IP也被目标邮箱服务器屏蔽。

发送简介：

发送配置文件是发送策略。 在这里，选择刚刚编辑的发送策略。

团体：

Groups是接收钓鱼邮件的目标用户组。 这里选择刚才编辑的目标用户组，名为Target 1 Group。

填写完上述字段并点击启​​动活动后，就会创建该钓鱼事件（注意：如果不修改启动日期，默认情况下，钓鱼事件创建后会立即发送钓鱼邮件）。

仪表板 仪表板

当网络钓鱼事件发生时，仪表板将自动开始统计数据。 统计数据项包括邮件发送成功数及率、邮件打开数及率、钓鱼链接被点击数及率、账号及密码数据提交数及率、提交次数及率等。收到的电子邮件报告的数量。 。 此外，还有一个时间线，记录每个行为发生的时间。

关于电子邮件报告，请参阅：

需要说明的是，Dashboard统计的是所有钓鱼事件的数据，而不是单个钓鱼事件的数据。 如果您只需要查看单个钓鱼事件的统计信息，您可以在营销活动中找到该钓鱼事件，然后单击“查看结果”按钮进行查看。

0x04第一次钓鱼：

至此，在gophish上发起钓鱼事件所需的所有步骤都已完成，现在就等待鱼儿上钩了。

查看捕获的数据

模拟目标用户的行为，打开上面发送的钓鱼邮件。

单击超链接

跳转到部署的钓鱼页面，发现和真实的登录界面没有什么区别。 （可以通过手动替换解决乱码问题）观察网站URL，可以看到钓鱼邮件中的超链接指向了之前创建新Campaign表单中填写的URL，但多了一个删除最后的参数。 这里的?rid=csF1qTj是唯一的，即唯一指向打开的钓鱼邮件。 换句话说，csF1qTj 被唯一分配给该电子邮件的收件人。

如果此名为“First Phishing”的活动选择的目标有多个目标邮箱，gophish 将为每个目标电子邮件分配一个唯一的 Rid 值，以区分不同的收件人。

输入用户名和密码，test/test然后点击提交

点击提交后，部署的钓鱼页面会重定向到真实系统页面，并添加错误参数errtype=1，从而提示账号或密码错误，从而迷惑受害用户。

在 gophish 中查看捕获的数据

单击“活动”- 选择第一次钓鱼的“查看结果”按钮- 展开“详细信息”- 展开“提交的数据”。

您可以看到钓鱼页面提交的账户和密码信息。

以上就是gophish功能面板中所有功能的介绍。 通过学习和利用以上功能，您已经可以实现更基本的网络钓鱼了。 发送配置文件 - 登陆页面 - 电子邮件模板 - 用户和组 - 活动 - 仪表板的顺序也是实际使用中需要遵循的顺序。 如果上一步配置不正确，将会影响后续的功能，达不到预期的效果。 因此，严格遵循这一步，不仅可以事半功倍，而且至少可以避免在成为“渔夫”的路上迷失方向。

0x05实际案例

一旦熟悉了以上功能，虽然可以进行简单的网络钓鱼，但对于模拟性和可信度要求较高的网络钓鱼来说，还是不够的。 一般来说，有一定网络安全意识的人是不会上钩的，所以我们通过一个实际案例来看看，对于常规的网络钓鱼攻击，还需要做哪些额外的工作。

集团应邀要求对旗下子公司人员进行为期三天的网络钓鱼活动，以提高员工的网络安全意识，避免在实际硬件操作中因网络钓鱼而导致系统受到攻击。 于是，一场漫长的钓鱼计划开始秘密策划……

因为涉及到公司信息，所以用文字描述。 主要是学习一些方法和方法，为实际需要提供一些思路。 本文提及的所有方法均应在获得授权的情况下进行，并确保它们仅用于提高员工安全意识的目的。 我们再次提醒您，所有未经授权的网络攻击都是非法的，互联网不是非法场所。

前期准备

大概域名：

经过一番查找，我们锁定了子公司门户的登录功能，并打算利用其来钓鱼员工的OA门户账号密码。为了提高可信度，我们根据门户网站的域名申请了一个近似的域名。 由于i的大写I在某些字体下看起来与门户网站的l（L）相同，因此可以达到一定的模拟效果。

设置电子邮件服务器：

当我们得到大概的域名后，我们将域名映射到服务器上。 然后我在服务器上使用postfix+dovecot搭建了邮箱服务。 因为我只需要发信，所以只启用了SMTP服务。 这样，我们就可以像发件人一样发送电子邮件。 当然，客户公司的电子邮件系统帐户是形式，因此可以达到假冒的效果。

选择电子邮件主题：

经过一番信息收集，我们找到了客户公司近期推广新的信息披露系统的通知，并附上了信息披露系统的网址（无需身份认证），因此我们可以用它来编辑一封主题为“信函”的信函。对于宣传新信息披露系统的钓鱼邮件，诱导公司员工先通过我们的钓鱼页面登录OA门户，然后重定向至新信息披露系统。 这样就可以捕获员工的OA账号密码，有效降低嫌疑程度，形成闭环。

识别发件人：

当我们几乎准备好后，客户向我们发送了一份员工和部门电子邮件地址列表。 经过筛选和考虑公司情况，我们确定了一个技术部门的邮箱地址，并冒充“信息技术部”发送钓鱼邮件，确保钓鱼邮件的发送。 电子邮件的权威性和可信度

配置gophish

将门户页面、钓鱼邮件模板、目标用户邮箱导入gophisih并保存，并在发送配置文件中配置我们内置的邮箱服务，使其能够正常发送，不会被扔进垃圾箱、过滤箱等。

配置完成后，创建钓鱼事件。 由于发送量较大，需要设置“发送邮件方式”来限制每分钟发送的邮件数量。 我们将速度设置为 10 封电子邮件/分钟，以避免被识别为垃圾邮件。

完成所有字段后，启动网络钓鱼事件并慢慢开始发送网络钓鱼电子邮件......

查看钓鱼结果

虽然只有46个用户上钩，占邮件发送量的2%，但在真实场景中，即使是一个真实用户上钩，也足以对系统造成巨大威胁。 这就是为什么社会工程可以成为一种重要的攻击手段。

Tags：钓鱼邮件 邮件 钓鱼 网站提交 email