初探邮件钓鱼

Posted by Tattoo on 2020-11-26
Estimated Reading Time 3 Minutes
Words 984 In Total
Viewed Times

邮件钓鱼平台搭建及使用

准备环境和工具

  • 两台vps
  • 可用域名
  • 钓鱼平台

环境搭建

  • Gophish搭建

使用docker从源码搭建

查看官方文档Dockerfile,需要暴露三个端口

1
2
3
docker pull gophish/gophish:latest

docker run -it -d -p 3333:3333 -p 8080:8080 -p 8443:8443 gophish/gophish:latest

启动成功

使用默认账号密码admin/gophish尝试登录,加上https协议,3333端口

提示账号密码无效

再次翻阅使用文档

文档中说明了如果使用二进制文件构建gophish,需要从输出日志中寻找password

那么,从docker log中寻找即可

1
docker logs ba17604909a9|grep -i "password"

登录成功后,强制修改密码

  • EwoMail搭建

根据官方文档一步步搭建,以及配置域名

过程稍微繁琐,最好是用一台可以随意重置的vps

最后需要确保端口开启

1
2
3
4
5
官方文档
http://doc.ewomail.com/docs/ewomail/jianjie

免费域名
https://www.freenom.com/zh/index.html?lang=zh

申请域名 fishlab.tk

后台登录页面

邮箱系统设置,只需在安装后在/etc/hosts中添加如下,就能自动识别,不用再配置

1
127.0.0.1 mail.fishlab.tk smtp.fishlab.tk imap.fishlab.tk

添加发件邮箱地址,mailfisher钓鱼者

接着设置域名解析,由于freenom免费域名里的解析规则不方便我们写值,我们换用dnspod来做域名解析,更改dnspod上的nameserver记录值

添加以下解析记录

然后到gophish里面配置发送邮件的资料,username是发件地址,password与evomail设置的密码一致,host端口改为465,25端口被厂商禁止

发送测试邮件

成功接收到邮件,发件人就是刚设置的发件地址

至此,环境搭建完毕,其中不要忘记gophish的端口在vps安全组规则中也要开放,一致报错耽误了时间

模拟钓鱼

  • Users & Groups - 添加邮箱

添加被钓鱼的邮箱,如果目标为一个企业或一个单位,可以导入CSV文件批量添加邮箱

  • Email Templates - 添加邮件模板

方式一:自己编辑邮件

使用官方定义参数

方式二:导入已有邮件进行修改

从已收到的邮件中选取并导出为eml格式文件,打开文件将内容复制到Email Content中

  • Landing Pages - 伪造钓鱼页面

伪造登录框获取手机号和密码

勾选捕获提交数据和密码两个选项,Redirect to表示重定向至真实页面地址,方便受害者点击完提交按钮后,自动跳转至真正的网站。

  • Campaigns - 钓鱼测试

Launch Campaigns发起钓鱼测试一

查看邮箱,已经接收到用方式一自己编辑的钓鱼邮件,里面列出了各个参数的值

Launch Campaigns发起钓鱼测试二

查看邮箱,已经接收到用方式二导入邮件修改后的钓鱼邮件,里面的超链接已经被替换成钓鱼登录页面链接

真实钓鱼

为了更贴近实战,构造一封邮件,诱使用户点击下载exe木马文件

  • 构造邮件模板

  • 构造钓鱼页面,嵌入下载地址

  • 发送邮件

  • 收到邮件

  • 鱼儿上钩

至此,有关邮件钓鱼的基础已经完成,期间还有很多地方需要改进,如钓鱼页面可以更真实,钓鱼链接要更隐蔽,不能让用户有所察觉,其次,由于安全性,企业的反垃圾邮件安全网关将所有携带exe附件的邮件均进行拦截,才导致邮件根本就没有发送到用户的邮箱,所以直接发送附件exe大多可能被拦截,需要考虑其他方式诱导用户点击或下载木马文件。


If you like this blog or find it useful for you, you are welcome to comment on it. You are also welcome to share this blog, so that more people can participate in it. If the images used in the blog infringe your copyright, please contact the author to delete them. Thank you !