前情提要

红队APT基础 | 钓鱼邮件的制作与SPF绕过（一） - FreeBuf网络安全行业门户

红队APT基础 | 钓鱼邮件制作与钓鱼服务器搭建（二） - FreeBuf网络安全行业门户

前面我们学习了如何快速的搭建一个钓鱼服务器，从而完成了伪造发件人的壮举：

官方邮件：

伪造邮件：

那么我们今天做什么呢？当然是钓鱼web的搭建了！主播主播，钓鱼web的搭建你不是已经教过了吗？就是靠工具一键下来就ok了呀。还用学？？？

嘿嘿，如果你复现过我前面两章文章，然后去进行钓鱼的时候，就会发现了，工具的一键克隆功能，只能满足百分之五十的需求。什么意思？就是看运气，网站好，那么克隆就很顺利且成功，网站不好，那就是抓不到密码，密码加密、登录点击后不能跳转等等问题~

那么今天，就是来解决这些问题，让人人都能完成钓鱼，完成钓鱼网站的搭建！通杀一切页面！

你能收获什么？

一个克隆修改脚本，让你对于大部分网站，都可以做到，不会js但能修改js，不会js但能制作钓鱼页面的通杀脚本！

正式开始

废话不多说，我们直接就是开始

知识点一：工具克隆效果展示

kali工具

这个工具是kali自带的一个工具

这里的翻译引用了：CSDN的文章

1) Social-Engineering Attacks 1） 社会工程攻击

2) Penetration Testing (Fast-Track) 2） 渗透测试（快速通道）

3) Third Party Modules 3） 第三方模块

4) Update the Social-Engineer Toolkit 4） 更新社会工程师工具包

5) Update SET configuration 5） 更新集配置

6) Help, Credits, and About 6） 帮助、学分和关于

99) Exit the Social-Engineer Toolkit 99）退出社会工程师工具包

这里我们选择1，社会工程攻击，当然上面的报错可以不用管。不会影响使用~

1) Spear-Phishing Attack Vectors 1） 矛式网络钓鱼攻击向量

2) Website Attack Vectors 2） 网站攻击向量

3) Infectious Media Generator 3） 感染性媒介发生器

4) Create a Payload and Listener 4） 创建有效负载和侦听器

5) Mass Mailer Attack 5） 群发邮件攻击

6) Arduino-Based Attack Vector 6） 基于Arduino的攻击向量

7) Wireless Access Point Attack Vector 7） 无线接入点攻击向量

8) QRCode Generator Attack Vector 8） QRCode生成器攻击向量

9) Powershell Attack Vectors 9） Powershell攻击向量

10) Third Party Modules 10） 第三方模块

99) Return back to the main menu. 99）返回主菜单。

这里我们选择2 --> Website Attack Vectors

1) Java Applet Attack Method 1） Java小程序攻击方法

2) Metasploit Browser Exploit Method 2）Metasploit浏览器利用方法

3) Credential Harvester Attack Method 3）凭证收割机攻击方法（钓鱼网站攻击）

4) Tabnabbing Attack Method 4）Tabnabbing攻击方法

5) Web Jacking Attack Method 5）网页劫持攻击方法

6) Multi-Attack Web Method 6）多种网站攻击Web方法

7) HTA Attack Method 7）HTA攻击方法

99) Return to Main Menu 99）返回主菜单

这里我们选择3 --> Metasploit Browser Exploit Method

1) Web Templates 1） Web模板

2) Site Cloner 2） 网站克隆器

3) Custom Import 3） 自定义导入

99) Return to Webattack Menu 99）返回Webattack菜单

“Web Templates”（web模块）是指利用SET中自带的模版作为钓鱼网站，SET中选择了几个国外比较有名的网站，如Yahoo、Gmail等。

“Site Clone”（网站克隆）是SET中一个极为强大的功能，可以克隆任何网站。你可以使用它模拟出想要冒充的网站，如某个单位的办公系统等。

“Custom Import”（自定义导入）允许你导入自己设计的网站。

这里我们选择2 --> Site Cloner

直接回车就好了，默认开放在80端口，而这个工具也很逆天，改不了开发的端口（反正我是没有查到更改的方法，直接使用ip+端口，也不行，所以使用这款工具一定要保证80端口没有被占用）

这里粘贴你要克隆网站的url

这样就算成功了。这个工具还有一个逆天的玩意，你用Ctrl+c退出后，你不能克隆其他的网站。你要重启kali才能克隆其他的网站。害，一言难尽~

额，这个克隆的….，也是逆天，换一个网站看看。老朋友：EDUSRC

好的，成功了输入个账号密码试试看。admin@123 和 admin

成功捕获了，跳转也正常

但就这个克隆效果吧，害，难平~

但也说不定，也许它克隆其他的网站效果不错呢~

GitHub工具 --> 克隆效果最好，能力最强

https://github.com/xiecat/goblin?tab=readme-ov-file

直接运行exe，就会生成了，这些文件以及文件夹。使用起来也很简单

例如克隆淘宝

克隆结果

那么我们如何查看它捕获的账号密码呢？

打开后清空它（为了方便查看），然后我们在克隆的页面输入账号密码admin和admin

然后打开文件查看数据包。

可以看到成功的克隆了，也成功的捕获了，但惨淡的是，密码也是进行了加密…..并不是明文，哎！！！！！！！！当然这个是和网站的js有关，我们的老演员EDUSRC就不会

很顺利，算是我比较推荐一款自动化工具啦~那么如何配合gohish工具使用呢？（照顾小白师傅嘛，就演示一下咯~）

首先查你本地的ip地址

192.168.28.167，所以具体的端口地址是：http://192.168.28.167:8083。那么就很简单啦

这个就随便选择一个模板。不用管，因为我们用的不是这个网站~

根据前两章的方法给我们自己发送一封邮件

点击链接以后，不得不说这个goblin工具的克隆太牛逼了，我克隆了登录页面，它把整个网站首页都克隆了，只能说6666.

?rid=23AX7AB就是gophish的特征，那么它是否可以捕获呢？

输入账号密码试试

gophish当然没有啦，因为其实你使用的网站是goblin工具克隆的网站。

所以应该去goblin文件看~

这样你就获得了gophish的批量发邮件的便捷性，也获得了goblin强大的克隆网站能力

强强联合，天下无敌（脚本小子的福音！）

gohish自带工具

这个之前介绍过了，两笔带过吧

输入你想克隆的网站，点击确定

克隆效果还是不错低，点名批评第一款工具，bug多克隆效果差

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）