iT邦幫忙

2021 iThome 鐵人賽

DAY 26
0
Security

三人要保密,一個人要學好資安系列 第 26

開源網路釣魚框架-Gophish(上)

開賽時提到的社交工程釣魚郵件
除了快速好上手的SET工具之外
gophish具有美美的UI介面,簡潔的流程跟開源的特性
讓我們可以輕輕鬆鬆地完成寄發廣告信的工作


  • Gophish 由 REST API 提供支持
  • 可導入現有網站和電子郵件
  • 自動更新結果
  • 可以查看每個收件人的時間線、追蹤電子郵件開啟、連結點擊、提交的憑據等
  • 非常容易設置、易於使用
  1. 可以自行下載安裝,也可以使用Docker來運行
    Gophish

  2. 修改配置檔案

  • admin_server:我們做為後臺管理頁面,請將127.0.0.1 改為 0.0.0.0,預設開放的port為3333
  • phish_server:主要釣魚網站,預設開放為80port
  1. 正式啟動Gophish
    ./gophish
    運行gophsih後會提醒登入Username和password

接著我們可以開啟瀏覽器連線到https://x.x.x.x:3333/

第一次登入會要求強制重新設定後台密碼
請設置高強度的後台密碼,至少八位以上的字元

修改完成後即可登入後台控制的介面

連線至80port則可看到404 page not found
為正常狀態,表系統已執行


順利運行設定執行的順序:

  1. 配置Smtp Mail資訊
  2. 編輯郵件模板
  3. 匯入目標使用者和群組
  4. 設定釣魚網頁
  5. 發起釣魚活動
  6. 受害者點擊測試
  7. 結果匯出

後面幾天將會來帶大家一步步進行設定


上一篇
Google Hacking女神搜尋技法
下一篇
開源網路釣魚框架-Gophish(中)
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言