King Phisher:一款專業的釣魚活動工具包
今天給大家介紹的是一款名叫King Phisher的網路釣魚測試工具,它可以通過模擬現實世界中的釣魚攻擊來提升普通用戶的網路安全意識。King Phisher的特點是易於使用,而且由於其架構的靈活性和可擴展性,測試人員可以完全控制釣魚郵件和伺服器端的內容。King Phisher的使用場景和範圍都非常廣,從對用戶進行安全意識培訓這樣的簡單任務,到竊取目標用戶憑證數據這樣的複雜任務, King Phisher都可以很好地勝任。
下載地址
【King Phisher v1.8最新版:請查看原文】
註:請不要將其用於惡意目的。
為什麼要使用King Phisher?
功能完整,可擴展性強
King Phisher是一款多功能的釣魚活動工具包,無論你想將其用於教育目的還是竊取用戶的憑證數據,King Phisher都可以幫助你實現你的目標。只需要進行簡單的配置,King Phisher就可以幫你同時對成百上千個發動網路釣魚攻擊。除此之外,它還允許我們在消息中嵌入惡意圖像文件。
整合了Web伺服器
King Phisher內置封裝了Web伺服器,並默認支持標準Python環境。
開源
採用Python開發的King Phisher意味著任何用戶都可以根據自己的需要來修改其源代碼,感興趣或有能力的用戶也可以去該項目的GitHub庫貢獻自己的力量【地址請查看
原文
】。不提供Web介面
沒有Web介面意味著他人更加難以識別King Phisher用於進行社會工程學活動的伺服器了,與此同時,這也降低了King Phisher操作者遇到類似XSS這種Web漏洞的可能性。
安裝King Phisher
King Phisher客戶端支持Windows和Linux,但King Phisher伺服器端目前只支持Linux平台。
Linux平台的用戶可以使用King Phisher提供的安裝腳本來自動化安裝該工具。安裝腳本可以自動安裝King Phisher以及所有的操作系統依賴組件,並完成一些基本的配置,整個安裝過程最多需要20分鐘,具體取決於用戶的帶寬以及所在地區。安裝以及配置詳情請參考該項目的GitHub主頁。
客戶端配置
客戶端配置文件採用JSON編碼格式,其中絕大多數配置項都可以通過GUI界面完成設置。
下列選項用戶可以自行修改,但無法通過GUI界面配置:
gui.refresh_frequency(默認: 5 分鐘)
mailer.max_messages_per_connection(默認: 5)
rpc.serializer(默認: 自動選擇)
ssh_preferred_key(默認: N/A)
消息模板變數
客戶端消息模板使用的是Jinja2模板引擎,主要支持以下幾種變數:
Variable Name | Variable Value |
---|---|
client.company_name | 目標用戶所在公司名稱 |
client.email_address | 目標用戶的郵箱地址 |
client.first_name | 目標用戶的名 |
client.last_name | 目標用戶的姓 |
client.message_id | 跟蹤標識符(與uid相同) |
url.tracking_dot | 用於追蹤消息的圖片URL |
url.webserver | 帶有uid參數的釣魚伺服器URL |
url.webserver_raw | 不帶參數的釣魚伺服器URL |
tracking_dot_image_tag | img 標籤中的跟蹤圖像 |
uid | 跟蹤標識符(與client.message_id相同) |
注:其中,uid是最重要的一個參數,必須在消息鏈接中包含uid。
* 參考來源:n0where, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※【FB TV】一周「BUF大事件」:警方打掉市面上最大打碼平台挖掘出全鏈條黑產;思科WebEx視頻會議插件再度發現嚴重RCE漏洞
※反入侵之發現後門利用mount-bind將進程和埠信息隱匿
※淺析PyCmd加密隱形木馬
※精彩盤點:2017網路安全法及關鍵信息基礎設施保護培訓會
TAG:FreeBuf |
※Inception bar:一種新的釣魚方法
※蘋果提醒用戶 謹防App Store與iTunes賬單的釣魚詐騙
※Microsoft Access Macro 快捷方式釣魚測試
※微軟將 Edge 反釣魚技術移植到 Google Chrome
※警惕偽裝成EOS Authority 的釣魚網站
※Security Hackress:釣魚攻擊,我才不是你的鉤上魚
※shellcode快捷編寫工具,可針對多種常見系統指令編寫;POT:Twitter釣魚,全自動模仿給好友發釣魚鏈接
※DarkHydrus 組織利用開源工具發動釣魚攻擊
※反釣魚創企Valimail獲4500萬美元C輪融資,Insight Partners領投
※這款釣魚主題有點可愛!全新 Nike PG 3 GS「Menta Green」 即將發售
※新型網路釣魚:通過電子郵件繞開Microsoft Office 365保護
※Facebook為開發人員提供一款用於識別釣魚攻擊活動的工具
※PowerDolphin小海豚水下無人機發布!釣魚、救援、拍攝無所不能
※能釣魚能救援的水上機器人 臻迪PowerDolphin小海豚亮相CES2019
※Kith Monday 今晚發售!「釣魚」三色短袖公布
※蘋果用戶注意啦!警惕新一輪App Store釣魚郵件
※Netmarble新作釣魚手游《釣魚大亨》正式配信
※AusTender網站成為網路釣魚者的最新誘餌
※Check Point發現不法之徒利用世界盃熱潮進行網路釣魚攻擊
※Bindweed:深入挖掘隱藏的釣魚網路