PhEmail:基於Python的開源網路釣魚測試工具
PhEmail簡介
PhEmail是一款採用Python編程語言開發的開源網路釣魚郵件工具,它可以幫助研究人員在進行社會工程學測試的過程中自動化地給目標發送網路釣魚郵件。PhEmail不僅可以同時向多個目標用戶發送釣魚郵件並識別出哪些用戶點擊了郵件,而且還可以在不利用任何瀏覽器漏洞或郵件客戶端漏洞的前提下儘可能多地收集信息。PhEmail自帶的引擎可以通過LinkedIN來收集電子郵箱地址,這些數據可以幫助測試人員完成信息採集階段的一部分工作。
除此之外,PhEmail還支持Gmail身份驗證,這一功能在目標站點屏蔽了郵件源或IP地址的情況下會非常有用。值得一提的是,該工具還可以克隆目標組織或企業的門戶網站登錄界面,測試人員可以用這些偽造的頁面來竊取目標用戶的登錄憑證。
使用樣例
一般來說,第一步是收集目標企業的郵箱地址。PhEmail的搜索引擎在收集到了企業郵箱地址之後,會將它們保存在一個文件中,演示代碼如下:
得到了企業郵箱地址之後,接下來就要創建釣魚郵件模板了。模板中的每一個URL必須要包含一個字元串」{0}」,因為腳本會自動將這個字元串替換成正確的URL地址。一次真實的測試場景截圖如下:
接下來,我們需要在Web伺服器上安裝php環境並將php文件」index.php」複製到Web伺服器的根目錄下。這個文件中包含的JavaScript代碼會收集瀏覽器信息並將其保存到/tmp目錄下的日誌文件中。演示實例如下:
接下來,你只需要等待目標用戶點擊釣魚郵件,然後你就能夠收集到目標用戶的某些瀏覽器信息了:
【GitHub傳送門】
工具下載
你可以直接通過克隆PhEmail的GitHub代碼庫來完成工具的下載:
git clone https://github.com/Dionach/PhEmail
工具使用
請不要在沒有得到目標用戶事先同意的情況下實用PhEmail來進行測試,由使用者自身使用不當所帶來的問題開發人員不承擔任何責任,同時我們也對PhEmail所帶來的損失概不負責,請大家妥善使用。
其他參考資料
* 參考來源:PhEmail, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※2050年的世界會變得怎樣?第三屆中國互聯網安全領袖峰會CSS的遙望
※如何確認Google用戶的具體電子郵件地址(已提交Google漏洞獎勵計劃)
※Office CVE-2017-8570遠程代碼執行漏洞復現
TAG:FreeBuf |
※基於PyTorch的目標檢測工具箱,商湯聯合港中文開源mmdetection
※一個基於PyTorch的目標檢測工具箱,商湯聯合港中文開源mmdetection
※資源 | 一個基於PyTorch的目標檢測工具箱,商湯聯合港中文開源mmdetection
※微軟宣布TextWorld開源:基於Python
※Salesforce開源構建Einstein AI模型的工具
※搭建Yearning 基於Inception的開源SQL審核平台
※Aqua推出開源Kubernetes滲透測試工具Kube-hunter
※資源 | 谷歌開源AdaNet:基於TensorFlow的AutoML框架
※「圖」開源的MobileShell:能讓你的PC變身大號Windows Phone
※谷歌開源AdaNet:基於TensorFlow的AutoML框架
※Oracle開源GraphPipe:幾行代碼讓你在TensorFlow部署PyTorch模型
※Facebook開源Linux內核組件和工具:BPF、Btrfs、Netconsd、Cgroup2、PSI、Oomd
※AWS 發布自家版本的開源 Elasticsearch:Open Distro for Elasticsearch
※大新聞!Facebook 開源了 Python 實現的物體檢測研究平台 Detectron
※Twitter 開源數據分析工具——tinfoleak
※高可用負載均衡:開源PaaS Rainbond組件Rainbond-Entrance揭秘
※Memcache/Redis集群管理探索與實現:美圖開源PaaS平台資源網關
※TensorFlow、MXNet、PaddlePaddle三個開源庫對比
※LinkedIn開源TonY:在Hadoop上運行TensorFlow的框架
※LinkedIn 開源 TonY:在 Hadoop 上運行 TensorFlow 的框架