实验整理(一)——钓鱼邮件攻击实验

article/2025/10/17 9:34:30

声明

        本文仅限于技术讨论和分享,是之前所做的一个课程设计整理,严禁用于非法途径。如果利用本文所提供的信息造成了不良结果,与本文作者无关。

一.实验介绍简介

        本次课程实验中主要是通过发送qq邮件来进行的一个钓鱼邮件实验。我是通过在kali上部署好的gophish工具向自己的一个QQ邮箱发送一个简单的电子邮件来模拟操作这次实验,并且还可以通过gophish来监测收到钓鱼邮件的收件人的状态。

        本次实验中使用的时kali-Linux-2021.2 -vnware-amd64,以及Windows 10 还有用到了QQ邮箱。还有部署在kali下的gophish钓鱼工具。

二.gophish的安装

1.下载地址:https://github.com/gophish/gophish/releases

2.在网站中找到下载界面,下载64位的最新版本的安装包到桌面。

 3.打开kali虚拟机,把gophish安装包传到kali的根目录下,解压安装包。

unzip gophish-v0.11.0-linux-64bit.zip -d gophish

4.网盘下载

链接:链接:https://pan.baidu.com/s/1MmecGcD0rSBomSvjg-vGRw 
提取码:uozs

三:gophish的部署

1.修改配置文件

        在kali中,在cd gophish/的目录下,vim config.json.如果需要远程访问后台管理界面,将Listen_url修改为0.0.0.0:3333,端口可以自定义。(这项主要是针对于部署在服务器上,因为一般的Linux服务器都不会安装可视化桌面,因此需要本地远程访问部署在服务器上的gophish后台)。如果是通过本机访问的话,保持127.0.0.1:3333就可以。在本次测试中,因为需要远程控制,所以要将listen_url:改为0.0.0.0:3333。

2.修改运行脚本权限以及运行脚本

        由于权限不够,无法执行脚本。在kali中,用命令chmod 744 ./gophish命令修改脚本权限,然后再输入命令./gophish就可以执行脚本了。(注意:最新版的密码是在首次启动gophish时会随机生成一个初始密码并将其打印在终端里。然后执行./gophish就可以看到出是账号和密码了。)

3.访问后台的管理界面

        在浏览器中访问https://ip:3333。(注意一定要使用https协议,这里的地址是kali 的地址,可以在kali中输入ifconfig来查看自己的kali地址)。第一次访问时会提示说网站不安全。这时候就选高级,然后继续访问。这时候就可以看到gophish的登录页面了。

这里的账号密码是上一步中执行./gophish脚本时显示账号和密码。提示修改密码后可以自行修改密码。

4.访问钓鱼页面

        在浏览器中输入http://ip:80。

 因为还没有配置钓鱼页面,所以显示404是正确的。

到现在为止,在kali下的gophish的安装和部署已经完成了。

 四:对实验结果的部署测试

1.对于gophish后台的功能测试

        在后台中,有Dashboard仪表板;Compaigns钓鱼事件;Group用户和组;Email Templates邮件模板;landing Pages钓鱼页面;Sending Profiles发件策略六大功能模块。

2.在gophish中进行发件邮箱与收件的配置

(1)使用一个QQ邮箱,并开启远程邮件收发功能。在本次实验中,需要用到两个邮箱号,一个是开启远程邮件收发功能之后来发送邮件的,一个是用来接受邮件的。如果要开启远程邮件收发功能的话,在网页版的QQ邮箱里,设置-账号-里面,开启SMTP服务。然后会获得一个授权码。

(2)配置一个发件邮箱。在左侧功能里选取Sending Profiles,打开,点击New Profile,新建一个策略,然后再填写每个信息。Name字段是为了新建的发送策略进行命名,这个命名不会影响到钓鱼实验的实施,所以我取了个qq.com。Interface Ty是默认为SMTP的,这个不用修改。From表示的是钓鱼邮件所显示的发件人。Host是SMTP的服务器的地址,所以QQ邮箱的格式应该为stmp.qq.com。Username是SMTP服务认证的用户名,因为是QQ邮箱,所以就是自己的QQ邮箱Password就是开启SMTP服务时获得的授权码。将这些信息全部填好之后,就可以发送邮件了。填好的信息显示效果是这样的。             

 

点击sent Tset Email后会弹出一个信息框询问将信息邮件发送给谁,这个我填上了自己的邮箱号。然后点击发送。就可以收到来自小号发送的一个邮件。

到这里为止,发送邮箱的配置已经完成了。但是,在实际的钓鱼实验过程中,大家都不会使用自己的QQ邮箱去发送钓鱼邮件。一方面是容易暴露身份,而且现在人们的安全意识已经有了显著的提高,大家都不认可这种邮件的真实性;另一方面是QQ邮箱这类第三方邮箱对每个用户每日发送数存在限制。所以,如果需要大批量的去发送钓鱼邮件,最好的方式就是使用自己的服务器,申请和正规网址的近似域名,搭建邮件服务器来发送邮件。

4.配置钓鱼页面

         在Landing Pages->这个功能中,点击New Pages,然后新建一个钓鱼页面。Name我取的是钓鱼页面。在HTML中,写了一段html代码。想做一个简单点的实验,所以没写那么复杂。点击Source可以在HTML代码和显示页面切换。写好代码后,勾选Capture Submitted Data,和Capture Passwords来获取提交的数据,在本次测试中,也就是账号和密码。Redirct to:页面url。填好之后Save Page。  

HTML代码如下:

<html><head><title></title></head><body><h3>请输入学号&amp;密码,验证后系统将自动跳转到密码修改页面</h3><form action="" method="post" name="input" id="input">学号: <input name="user" type="text"><br>密码: <input name="password" type="password"><br><input type="submit" value="提交">&nbsp;</form></body>
</html>

 5.配置钓鱼邮件模板

         在mail Templates这个功能中,新建一个新的邮件正文模板。Name中我取了一个名字是转钓鱼页面,然后点击import Email。gophish为编辑邮件内容提供了import Email这种方式。用户可以先在自己的邮箱里放送一份设计好的邮件,打开并选择导出eml文件或者显示邮件原文,然后把内容复制到import Email里。在本次实验中,我选择了显示邮件原文,将邮件原文复制到了import Email里。写完之后,勾选上add tracking image。然后可以点击save template就能保存了。

6.配置收件人

        点击左侧Users&Groups用户和组这个功能模块,新建一个收件人组。当我们完成以上三个功能的内容编辑后,钓鱼准备工作就完成了一大半了。在gophish中,Users$Groups的作用就是将钓鱼的目标邮箱导入gophish中准备发送。点击New Group后新建一个钓鱼的目标用户组。在Name里,取名users。看到Bulk Import Users后,Bulk Import Users是批量导入用户邮箱,它通过上传符合特定模板的CSV文件来批量导入目标用户邮箱。写入收件人组又两种方法。一种是上传符合特定模板的CSV文件,另一种是直接add添加收件人组。如果要上传CSV文件的话,需要在Bulk Import Users旁边的有一行小字可以用来下载特定的CSV模板文件。下载到主机桌面上后,可以用Excel表打开,然后可以向表里填数据。其中除了表里的Email是必须要填的,剩下的其余项可以填也可以不填。填好保存后上传到Bulk Import Users里。测试实验时,我使用的时add直接增加。Add这种方法时一种单个邮箱的导入方法。这对于开始钓鱼前,钓鱼组内部测试十分方便,不需要繁琐的文件上传,直接填写Email就可以。跟Bulk Import Users一样,除了Email其它项可填可不填。由于这次实验没有大面积的发送邮件,所以Users组里只写了一个邮箱号来做的测试。做完这些后点击save changes保存就可以了。

 7.发起钓鱼攻击

         Compaigns是钓鱼事件。做到这一步时,当我们完成以上四个功能的内容编辑后,钓鱼准备工具就基本完成了。现在就是一种“撒网捞鱼,等待鱼上钩”的状态。为了让实验能尽量快速的顺利进行,我把自己的一个QQ邮箱当作那条“鱼”,发送钓鱼邮件。然后访问。点开左侧的Users & Groups用户和组,再点击New Group新建一个钓鱼攻击。Name就是当前新建用户组的命名,在Email Template:选择转钓鱼页面。在Landing Page:选择钓鱼页面。URL 是用来替换选定钓鱼邮件模板中超链接的值,该值指向部署了选定钓鱼页面的url网址。简单来说,这里的URL需要填写当前运行gophish脚本主机的ip。因为启动gophish后,gophish默认监听了3333和80端口,其中3333端口是后台管理系统,而80端口就是用来部署钓鱼页面的。。当URL填写了http://主机IP/,并成功创建了当前的钓鱼事件后。gophish会在主机的80端口部署当前钓鱼事件所选定的钓鱼页面,并在发送的钓鱼邮件里,将其中所有的超链接都替换成部署在80端口的钓鱼页面的url所以,这里的URL填写我本地当前运行gophish主机的IP对应的url。实际上,URL为钓鱼页面的访问地址,如果想要访问效果更好一点,可以搭建自己的邮件服务器,并注册一个与目标相似的域名Launch Date不用动,Sending Profile:选择qq邮箱,Groups 选择users。然后点击“Launch campaign”就可以发起一次钓鱼邮件攻击 。

提交之后,发送钓鱼邮件。收件人收到了钓鱼邮件。此时,可以通过compaigns查看钓鱼邮件的统计信息。因为只是发送了还没有打开钓鱼邮件。所以只统计了一个数据信息。

 8.打开钓鱼邮件

        收件人收到了钓鱼邮件并且打开邮件,然后点击邮件里的链接,出现设置界面,点击设计界面中的提交跳转界面到伪页面。当收件人在这个伪造的恶意网站上输入自己的用户名和密码等信息,这些信息就会反馈到攻击者手上。

此时,我们再看Campaign的后台,可以实时查看钓鱼邮件的统计信息 。

 到此为止,这次实验就已经全部结束了。在这次实验中,成功完成了钓鱼测试并且获得了钓鱼邮件的数据信息。

 四:防范建议

        在做了这次钓鱼测试实验之后,我意识到了防范意识的重要性。我做的只是学号密码的盗取,而真正的钓鱼邮件是指利用伪装的电子邮件,欺骗受骗人将账号、口令等信息回复给指定的接收者,做一些以假乱真的网站迷惑人,会引导受骗人信以为真,输入银行卡或者银行卡号码、账号名称等,造成财产的损失。

  1. 技术层面,部署专业邮件安全网关,实时识别和拦截骗术套话、恶意链接、病毒附件,结合威胁情报,将攻击IP、恶意邮箱加入黑名单。边界技术防护是企业的第一道防线。
  2. 管理层面,加强安全意识培训,多开展内部演练,提升员工对钓鱼邮件的甄别和防范能力:不要将企业邮箱用于第三方平台注册,减少暴露面;不要轻信邮件内容,提供敏感信息时要先电话确认;不要点击可疑链接,不要去扫邮件中的二维码;不要轻易打开运行附件,电脑要安装杀毒软件等。

 


http://chatgpt.dhexx.cn/article/2G68VkLH.shtml

相关文章

网络安全之钓鱼网站

0.前言 很多人都接触过钓鱼网站&#xff0c;但是什么是钓鱼网站呢&#xff1f;趁着对课程的复习回顾&#xff0c;我在这里介绍一下。 所谓钓鱼网站&#xff0c;即假网站&#xff0c;比如说这有一个正确的网站www.qqpet.qq.com这个网站是腾讯QQ宠物的网站&#xff0c;但是钓鱼…

差点被一个截图忽悠了,分析一个QQ空间钓鱼网站

刚刚打开手机tim看到QQ空间有留言下面一个截图的东西(别扫进去输自己的账号密码哈&#xff0c;看看就得了&#xff0c;典型的钓鱼网站) 貌似在前几年就有此类网站&#xff0c;不过现在高级了些&#xff0c;下面就由图图来分析一下原理是什么鬼(毫无技术含量)大神快点绕道&#…

html做qq钓鱼网站,QQ钓鱼网站是什么?

QQ号被盗&#xff1f;被冻结&#xff1f;肯定是你登陆过第三方QQ钓鱼网站&#xff01;QQ钓鱼网站顾名思义&#xff0c;就是利用高仿QQ活动或其他登录页面的网站&#xff0c;当你输入QQ号或密码登录该高仿页面后&#xff0c;账号就会立刻被盗或冻结&#xff01; 这种QQ钓鱼网站大…

【漏洞挖掘】QQ钓鱼网站实战渗透

一、信息收集 在一个风和日丽的下午&#xff0c;突然在我们专业群里面有位同学发来一个二维码要收集信息&#xff0c;说需要微信扫描后填写信息 像这种二维码&#xff0c;这种介绍&#xff0c;一眼就看出它不是好东西。闲的没事干的我&#xff0c;就准备爆入它&#xff0c;刚好…

可恶的QQ钓鱼网站

此处省略N字&#xff0c;总之&#xff0c;我的朋友竟然在QQ钓鱼网站上输入了账号和密码。对他进行安全教育后觉得对钓鱼网站也的做点什么。 钓鱼网站如图 仅有账号和密码&#xff0c;那我就多提交点用户名密码上去吧。 表单挺简单的 用这个代码提交数据 # -*- coding: utf-8 -…

用jsp代码完成购物车并且实现添加功能

一&#xff0c;首先写一个商品界面来进行对商品的选购 1&#xff0c;来写商品界面时用到的知识点是html中的input&#xff0c;from表单与border&#xff0c;tr&#xff0c;td 知识&#xff0c;从而来完成比较简单的商品选购界面&#xff0c;代码如下&#xff1a; 以上代码就是…

javaweb实现购物车功能

本篇文章讲的是如何使用javaweb相关知识模拟购物车功能 (web练手小项目) 使用到的相关知识(部分知识点在文章中简单涉及到): html cs javascript jsp servlet ajax jQuery Mysql MyBatis(持久层框架&#xff0c;用来连接数据库&#xff0c;这里可以使用jdbc进行数据…

js实现简单的购物车 有图有代码

用JavaScript实现静态购物车功能 要求&#xff1a; 点击号数量增加&#xff0c;点击-号数量递减&#xff1b; 实现全选、反选和删除功能&#xff1b; 求出小计、总数量和总价&#xff1b; 看效果图 CSS样式 <style>table{width: 900px;border-collapse: collapse;ma…

Servlet+jsp实现简单购物车

功能&#xff1a;BuyBook.jsp上输入所购书名&#xff0c;然后在下面就显示输入的书名&#xff0c;书名后有删除的链接&#xff0c;点删除就从购物车中删除。不涉及数据库。 文件&#xff1a;BuyBook.jsp 、BuyServlet.java ,Servletjsp是我的站点名&#xff0c;架构如下 (在My…

javaweb简单实现购物车的功能

功能简述 本例采用jspservletmysqljdbcc3p0ajax简单实现一个购物车的功能。 项目结构 service那层可以忽略&#xff0c;就不实现登录的功能了&#xff0c;还得加过滤器&#xff0c;主要就实现购物车就行了 JQ jar包 链接&#xff1a;https://pan.baidu.com/s/1KN8EvSlraH_…

jsp购物车简单实现思想(一)

目录 学习目标&#xff1a; 1.通过超链接a传参将所点击购买的商品id传到处理页面doShopCart.jsp进行处理 2.接收超链接a所传productid并进行处理 3.接收处理后的存储多个id的ArrayList aList购物车列表&#xff0c;通过ProItemDaoImp类的getProItemByIds(aList)方法从数据库…

servlet+jsp实现小小购物车功能

这个小小购物车功能是接上个实现浏览记录保存功能的,首先是建立连接池,然后就创建一个购物车实体类,购物车实体类需要有items商品与商品的数量,成员变量如下 //购物车商品的集合private HashMap<Items, Integer> goods; //购物车的总金额private double totalPrice; 然后…

Servlet/Jsp实现购物车

(1)用servlet实现简单的购物车系统&#xff0c;项目结构如下&#xff1a;&#xff08;新建web Project项目 只需要AddItemServlet &#xff0c; ListItemServlet&#xff0c;exam403.jsp三个文件即可&#xff0c;其他的不用管&#xff09; &#xff08;2&#xff09;exam403.j…

jsp实现简单购物车页面

壹 我们今天所设计的购物车页面所实现的功能是点击商品所对应的购买按钮即可在另一页面显示所购买的商品。 贰 &#xff08;1&#xff09;我们想象一下购物的整个过程&#xff0c;当我们进入超市后&#xff0c;会首先拿一个购物推车或者购物篮&#xff0c; &#xff08;2&#…

jsp设计简单的购物车应用案例

代码解释 <%request.setCharacterEncoding("UTF-8");if (request.getParameter("c1")!null)session.setAttribute("s1",request.getParameter("c1"));if (request.getParameter("c2")!null)session.setAttribute("…

jsp实现简易购物车

实现要求: &#xff08;a&#xff09;输入要购买的商品 &#xff08;b&#xff09;点击提交按钮后 &#xff08;c&#xff09;结账页面将所选择的商品全部列出 代码实现: b9_shopping.jsp <% page language"java" contentType"text/html; charsetUTF-8…

JSP-购物类网站(购物车功能,翻页功能,文件下载功能,文末有代码及数据库备份)

目录 网站功能框架 网站架构图 网站项目树 网站首页 注册登录页面 用户个人中心页面 商家个人中心页面 搜索结果页面 商品详细信息页面 手机端页面(部署后) 之前在校内参加过网站设计大赛&#xff0c;贡献全部代码&#xff0c;供jsp小白学习。 这是一个购物类网站,后…

基于Java、Jsp实现购物车的功能

先看效果图&#xff1a; 实现代码&#xff1a; index.jsp <% page language"java" contentType"text/html; charsetUTF-8" pageEncoding"UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset"UTF-8&qu…

JSP——购物车

JSP—购物车 主页面&#xff08;buy.jsp&#xff09; <% page language"java" contentType"text/html; charsetUTF-8"pageEncoding"UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset"UTF-8"> &l…

HTML代码实现简易购物车

网上关于购物车实现的代码非常多&#xff0c;本次的这篇文章主要是和大家分享了HTML代码实现简易购物车&#xff0c;有需要的小伙伴可以看一下&#xff0c;接下来讲解一下具体的实现。 1、用html实现内容&#xff1b; 2、用css修饰外观&#xff1b; 3、用js(jq)设计动效。 …