Gophish钓鱼邮件

一.Gophish平台

0x01 环境搭建（Linux）

1.安装包下载：https://github.com/gophish/gophish/releases
2.wget 下载到本地

wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip

3.下载完成后，进行解压：

unzip gophish-v0.11.0-linux-64bit.zip 

4.修改配置文件：

vim config.json

若需要远程访问后台管理界面，将listen_url修改为0.0.0.0:3333，端口可自定义。（这项主要针对于部署在服务器上，因为一般的Linux服务器都不会安装可视化桌面，因此需要本地远程访问部署在服务器上的gophish后台）
如果仅通过本地访问，保持127.0.0.1:3333即可。
5.运行gophish:

chmod 777 gophish
./gophish

注：首次使用时，服务端会给出初始账号和密码，账号为admin,密码为随机生成的一串字符。
6.访问钓鱼界面：
本地打开浏览器，访问http://ip:80/，提示404 page not found 说明运行正常
tip:需要保持长期运行时使用命令：

nohup ./gophish &

0x02 功能介绍

  进入后台后，左边的栏目即代表各个功能，分别是Dashboard仪表板 、Campaigns钓鱼事件 、Users & Groups用户和组 、Email Templates邮件模板 、Landing Pages钓鱼页面 、Sending Profiles发件策略六大功能。
1.Sending Profiles发件策略
主要作用是将用来发送钓鱼邮件的邮箱配置到gophish。
点击New Profile新建一个策略

字段	说明
Name	新建的发件策略进行命名，不会影响到钓鱼的实施。–可任意取
Interface Type	接口类型，默认为SMTP类型且不可修改，因此需要发送邮件的邮箱开启SMTP服务
From	发件人，例如 [email protected]
Host	smtp服务器地址，例如qq邮箱的smtp服务地址是 smtp.qq.com
Username	smtp服务认证的用户名，如果是qq邮箱，则是qq邮箱账号
Password	smtp服务认证的密码，点击 设置 - 账户 - 开启 - SMTP服务 生成 授权码，Password填写收到的授权码
Email Headers	自定义邮件头字段，例如邮件头的X-Mailer字段，若不修改此字段的值，通过gophish发出的邮件，其邮件头的X-Mailer的值默认为gophish

设置好以上字段，可以点击Send Test Email来发送测试邮件，以检测smtp服务器是否认证通过。
tip:在实际钓鱼中，是不会使用自己的qq邮箱去发送钓鱼邮件。一是暴露自身身份，且邮件真实性低，二是qq邮箱这类第三方邮箱对每个用户每日发件数存在限制。因此，如果需要大批量去发送钓鱼邮件，最好的方式是使用自己的服务器，申请近似域名，搭建邮件服务器来发件。
2.Landing Pages钓鱼页面
主要作用是设计由钓鱼邮件中超链接指向的钓鱼页面。
点击New page新建页面

字段	说明
Name	用于给当前新建页面命名
Import Site	填写被伪造的网站url，再点击Import，即可通过互联网自动抓取被伪造网站的前端代码
内容编辑框	内容编辑框是编辑钓鱼页面的第二种方法，但是绝大多数情况下，它更偏向于用来辅助第一种方法，即对导入的页面进行源码修改以及预览
Capture Submitted Data	捕获受害用户的用户名
Capture Passwords	捕获密码
Redirect to	其作用是当受害用户点击提交表单后，将页面重定向到指定的URL。可以填写被伪造网站的URL，营造出一种受害用户第一次填写账号密码填错的感觉

3.Email Templates 钓鱼邮件模板
主要作用是编写钓鱼邮件的内容。
点击New Template新建钓鱼模板

字段	说明
Name	钓鱼邮件模板命名
Import Email	gophish为编辑邮件内容提供了两种方式，第一种就是Import Email用户可以先在自己的邮箱系统中设计好钓鱼邮件，然后发送给自己或其他伙伴，收到设计好的邮件后，打开并选择导出为eml文件或者显示邮件原文，然后将内容复制到gophish的Import Email中，即可将设计好的钓鱼邮件导入
Subject	邮件的主题，通常为了提高邮件的真实性，需要自己去编造一个吸引人的主题
Add Tracking Image	在钓鱼邮件末添加一个跟踪图像，用来跟踪受害用户是否打开了收到的钓鱼邮件。默认情况下是勾选的，如果不勾选就无法跟踪到受害用户是否打开了钓鱼邮件
Add Files	在发送的邮件中添加附件，一是可以添加相关文件提高邮件真实性，二是可以配合免杀木马诱导受害用户下载并打开

注：在点击Import之前需要勾选上Change Links to Point to Landing Page，该功能实现了当创建钓鱼事件后，会将邮件中的超链接自动转变为钓鱼网站的URL
4.Users & Groups 用户和组
主要作用是将钓鱼目标邮箱导入gophish中准备发送。
点击New Group新建一个钓鱼的目标用户组

字段	说明
Name	为当前新建的用户组命名
Bulk Import Users	批量导入用户邮箱，它通过上传符合特定模板的CSV文件来批量导入目标用户邮箱。点击旁边灰色字体的Download CSV Template可以下载特定的CSV模板文件。其中，模板文件的Email是必填项，其余的Frist Name 、Last Name、Position可选填
Add	单个邮箱的导入，直接填写Email即可，同样其余的Frist Name 、Last Name、Position可选填

5.Campaigns 钓鱼事件
主要作用是将上述四个功能Sending Profiles 、Email Templates 、Landing Pages 、Users & Groups联系起来，并创建钓鱼事件。
点击New Campaign新建一个钓鱼事件

字段	说明
Name	为新建的钓鱼事件进行命名
Email Template	即钓鱼邮件模板，这里选择刚刚上面编辑好的钓鱼邮件模板 如：邮件模板1
Landing Page	即钓鱼页面，这里选择刚刚上面编辑好的名为钓鱼页面1的XX大学邮箱登录页面的钓鱼页面
URL	用来替换选定钓鱼邮件模板中超链接的值，该值指向部署了选定钓鱼页面的url网址。简单来说，这里的URL需要填写当前运行gophish脚本主机的ip。因为启动gophish后，gophish默认监听了3333和80端口，其中3333端口是后台管理系统，而80端口就是用来部署钓鱼页面的。当URL填写了http://主机IP/，并成功创建了当前的钓鱼事件后。gophish会在主机的80端口部署当前钓鱼事件所选定的钓鱼页面，并在发送的钓鱼邮件里，将其中所有的超链接都替换成部署在80端口的钓鱼页面的url。所以，这里的URL填写本地当前运行gophish主机的IP对应的url，即http://ip/。另外，需要保证的是该URL对于目标用户组的网络环境是可达的。
Launch Date	即钓鱼事件的实施日期，通常如果仅发送少量的邮箱，该项不需要修改。如果需要发送大量的邮箱，则配合旁边的Send Emails By效果更佳
Send Emails By	配合Launch Date使用，可以理解为当前钓鱼事件下所有钓鱼邮件发送完成的时间。Launch Date作为起始发件时间，Send Emails By 作为完成发件时间，而它们之间的时间将被所有邮件以分钟为单位平分。防止因短时间大量邮件抵达目标邮箱而导致的垃圾邮件检测，甚至发件邮箱服务器IP被目标邮箱服务器封禁。
Sending Profile	即发件策略，这里选择刚刚编辑好的名为[email protected]的发件策略
Groups	即接收钓鱼邮件的目标用户组，这里选择刚刚编辑好的名为目标1组的目标用户组

6.Dashboard 仪表板
  当创建了钓鱼事件后，Dashboard 会自动开始统计数据。统计的数据项包括邮件发送成功的数量及比率，邮件被打开的数量及比率，钓鱼链接被点击的数量及比率，账密数据被提交的数量和比率，以及收到电子邮件报告的数量和比率。另外，还有时间轴记录了每个行为发生的时间点。可以将目标用户输入的数据进行导出。

免责声明
  我们本着技术分享的原则，分享学习心得和工具掌握，请勿将其用于任何非授权的行为，请严格遵守国家信息安全法。任何违反法律、法规的行为，均与本人无关。建议所有的操作在虚拟机中进行，自己搭建实验环境，安全性自检。若是有违规的地方，请联系删除。