PhEmail：基於Python的開源網路釣魚測試工具

PhEmail簡介

PhEmail是一款採用Python編程語言開發的開源網路釣魚郵件工具，它可以幫助研究人員在進行社會工程學測試的過程中自動化地給目標發送網路釣魚郵件。PhEmail不僅可以同時向多個目標用戶發送釣魚郵件並識別出哪些用戶點擊了郵件，而且還可以在不利用任何瀏覽器漏洞或郵件客戶端漏洞的前提下儘可能多地收集信息。PhEmail自帶的引擎可以通過LinkedIN來收集電子郵箱地址，這些數據可以幫助測試人員完成信息採集階段的一部分工作。

除此之外，PhEmail還支持Gmail身份驗證，這一功能在目標站點屏蔽了郵件源或IP地址的情況下會非常有用。值得一提的是，該工具還可以克隆目標組織或企業的門戶網站登錄界面，測試人員可以用這些偽造的頁面來竊取目標用戶的登錄憑證。

使用樣例

一般來說，第一步是收集目標企業的郵箱地址。PhEmail的搜索引擎在收集到了企業郵箱地址之後，會將它們保存在一個文件中，演示代碼如下：

得到了企業郵箱地址之後，接下來就要創建釣魚郵件模板了。模板中的每一個URL必須要包含一個字元串」{0}」，因為腳本會自動將這個字元串替換成正確的URL地址。一次真實的測試場景截圖如下：

接下來，我們需要在Web伺服器上安裝php環境並將php文件」index.php」複製到Web伺服器的根目錄下。這個文件中包含的JavaScript代碼會收集瀏覽器信息並將其保存到/tmp目錄下的日誌文件中。演示實例如下：

接下來，你只需要等待目標用戶點擊釣魚郵件，然後你就能夠收集到目標用戶的某些瀏覽器信息了：

【GitHub傳送門】

工具下載

你可以直接通過克隆PhEmail的GitHub代碼庫來完成工具的下載：

git clone https://github.com/Dionach/PhEmail

工具使用

請不要在沒有得到目標用戶事先同意的情況下實用PhEmail來進行測試，由使用者自身使用不當所帶來的問題開發人員不承擔任何責任，同時我們也對PhEmail所帶來的損失概不負責，請大家妥善使用。

其他參考資料

* 參考來源：PhEmail， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！