gophish企业内部钓鱼邮件测试
前言
最近由于公司需要,进行了一次gophish钓鱼测试,我也被迫从一个完全没有接触过gophish的小小白变成了一个全面了解gophish所有功能的小白。中间历经千难万险,在此总结。
由于实践项目涉及公司机密,所以本文主要以叙述为主。
域名与伪造邮箱账号
现有的大多数gophish都是建议搭一个本地的邮箱服务器,然后可以任意伪造域名。但是这样子难以绕过SPF协议,容易被收件方拦截。并且搭建邮件服务器有许多不便之处,国内的大部分服务器都禁用SMTP协议的25端口,而如果使用SSL协议的465端口则需要证书认证。而且自己搭建的服务器如果不了解的话容易被黑客侦测到开放的端口从而被利用。
我的踩坑总结是买一个与企业域名类似的域名,如阿里巴巴的邮箱域名是alibaba-inc.com,则可以买一个类似的albaba-inc.com的域名。
然后用这个域名,去申请腾讯企业邮箱。腾讯企业邮箱有免费的基础版,每天的域外发送量为500封,对于一般中小企业来说够用了https://exmail.qq.com/cgi-bin/readtemplate?t=new_index/versionCmp
之后需要你的微信号填一下个人信息,这些没有关系都可以正常填。之后就可以登录后台任意开通名称一样的账号。
补充:腾讯企业邮一次性发多了会被ban掉,所以如果想大规模发钓鱼测试邮件还是得用自己的服务器。正在尝试使用本地服务器搭建,成功了再更新
gophish搭建
此处只讲linux下的gophish搭建
搭建gophish的服务器要保证可能被收件方访问到,最好是公网服务器。
https://github.com/gophish/gophish/releases/download/v0.10.1/gophish-v0.10.1-linux-64bit.zip下载gophish安装包,使用unzip命令进行解压,之后进入该目录,查看config.json文件
其中admin_server是管理页面的配置,这个管理界面只能通过https访问,端口为3333,可以修改,.crt和.key文件是ssl证书,可以通过openssl下载
openssl req -newkey rsa:2048 -nodes -keyout gophish.key -x509 -days 365 -out gophish.crt
执行该命令后会生成两个文件,就是ssl证书所用的.crt和.key文件,将这两个文件gophish的文件夹下,就是和config.json在同一文件夹,然后修改一下config.json里admin_server中的内容
如果端口什么的都没有问题的话,就可以远程访问gophish了。
输入https://ip:3333进行访问。
gophish使用
gophish的使用已经有很多相关文章了,在此不再赘述,就需要注意的是在email templates里面不要修改链接,否则将无法跳转到loading page。而且如果想要接收到返回数据的话,loading page至少含有以下代码
<form action="" method="POST"><input name="username" type="text" placeholder="username" /><input name="password" type="password" placeholder="password" /><input type="submit" value="Submit" />
</form>
在campaign里面有一个url,这个就是接受反馈信息的链接,这个链接最好填成http://域名:端口,这个端口号就是你之前在config文件中的listen_url的端口号,默认为80,但是大多数服务器如果开80端口的话需要备案,可以手动修改为其他端口。URL也可以写成http://ip:端口,但是不建议,这样子写会将ip直接暴露给收件方。
常见问题及注意事项
1.gophish里面邮件显示成功发送,但是收件方却没有收到
可能是因为被SPF协议拦截为垃圾邮件,如果使用的是真实邮箱如腾讯企业邮箱或QQ邮箱但仍被拦截,要注意检查邮件内容。
2.远程访问https时显示不安全直接点继续,添加例外就行
3.如果http可以访问但是https不可以访问,注意ssl证书放的位置,以及端口是否开放。
4.端口开放不是说在命令行里面把端口打开,而是要在服务器的控制台里面开。
第一次写博客有很多不足之处,爱看看不爱看拉到。
gophish企业内部钓鱼邮件测试相关推荐
- 想为企业杜绝钓鱼邮件,ValiMail 获1200万美元A轮融资
虽然企业协作应用越来越火,但作为一种正式沟通渠道,邮箱的地位似乎仍不可替代,比如邮件认证公司ValiMail就被资本看好,近日宣布获得1200万美元的A轮融资,由 Shasta Ventures领投, ...
- 这样的钓鱼邮件,你会中招吗?
在一个风和日丽的工作日下午,你收到了一封由公司人力资源部门发来的工资单邮件,正疑惑今天并不是发薪日,但激动的小手已经在不经意间按下了鼠标,发现上面所写的工资跟预期少了许多,一封附件表格提醒你查看本月需 ...
- 中科大遭钓鱼邮件攻击了?3500名师生中招
近日有中国科学技术大学学生在社交媒体发帖称,收到了学校发的"中秋免费月饼领取" 的邮件,但填写资料后没有领到月饼,却反倒把自己信息泄露了. 据新闻消息,9月8日上午,中科大网络信息 ...
- 如何对钓鱼邮件安全意识淡薄的员工进行教育培训
频发的APT攻击事件告诉我们,员工都是企业安全最薄弱的环节.在发起攻击时,黑客往往采用社会工程学手段对目标组织的员工下手,而这些手段中首当其冲的就是邮件钓鱼.据统计,约92%的数据泄露事件与社会工程学 ...
- 一次简单的企业内部安全意识演练
一.演习目的 企业安全威胁中来自网络邮件的威胁在近几年不断增长,因为邮件已经成为日常生活中不可缺少的一部分,办公信息通知,沟通方案留存,都是需要通过邮件进行交付.如果没有邮件相关的安全防范意识,及其可 ...
- 【钓鱼邮件!】一枚合格的鱼饵是什么味道【上】环境+钓鱼服务器搭建+邮件隐蔽性与可信
0x00 物理环境准备 准备 服务器(需开启25端口) 纯净Centos7/8系统 可以设置 PTR Records 内存大于 1 GB Ewomail最低配置要求: CPU:1核 内存:2G 硬盘: ...
- 企业内网邮件钓鱼测试新手指南
环境:Windows系统 工具: 1.hmailserver搭建邮件服务器 下载地址:https://www.hmailserver.com/download 2.钓鱼工具gophish 下载地址:h ...
- 钓鱼基础设施的应用分析(钓鱼邮件利用、Gophish)
钓鱼常用字符替换集 0x00 前言 邮件钓鱼攻击是一种常见的网络攻击方法,无论是广撒网式的"大海捞鱼",还是极具精准化.定制化的鱼叉式钓鱼,都越来越普遍. 在红蓝模拟对抗的场景下, ...
- zabbix邮件告警设置外部邮箱或企业内部邮箱
1.安装邮件发送工具mailx yum install mailx 2.配置Zabbix服务端外部邮箱或企业内部邮箱 vi /etc/mail.rc set from=xxx@163.com set ...
最新文章
- 维度爆炸?Python实现数据压缩如此简单
- Java中的带参方法
- 博士申请 | 香港中文大学(深圳)纪冬旭老师招收博士生/研究助理/博士后
- react 合并数组_React 常被忽视的细节。
- 1.sql 数据据基础_数据库的组成
- 一个比较方便的转换NSString为UTF8编码的函数
- java比赛题目_【蓝桥杯2016第七届比赛题目】JAVA A组
- java获取返回xml节点里的值,关于用java读取xml中节点的值解决方案
- 漫步数理统计八——随机变量(下)
- Greenplum segment级问题的排查 - gp_session_role=utility (含csvlog日志格式解读)
- Python 第三方库的安装
- java--Date时间
- 服务器获取真实客户端 IP [ X-Forwarded-For ]
- python读取csv内容变为nan,python – 获取pandas.read_csv以空字符串而不是nan读取空值...
- 怎么启动mysql2008_SQL Server 2008初次启动
- 怀旧服服务器物品栏在哪里,魔兽世界怀旧服:祈福服务器的真实情况,装备不贵,玩家确实不多...
- CSS3实现3d图片旋转动画效果
- 解决Ubuntu远程连接mysql连不上的问题
- 买卖股票系列(力扣121、122、123、188、309、714) Java动态规划
- yolov2 损失函数_深度学习计算机视觉之YOLO,YOLOv2和YOLOv3算法(超详细解析)