[ 钓鱼实战系列-基础篇-8 ] 一篇文章教会你选择适合的钓鱼项目并设计钓鱼页面

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！
网络钓鱼不仅是一种网络攻击技术同时也是一项最常见的社会工程技术，更是红队选手和网络犯罪分子的惯用伎俩。
本文我们探讨常见的钓鱼工具及常用的钓鱼服务器部署思路。后续会进行大量实战，先了解有这些东西，大概知道怎么进行实战就可以。

1.8.1 开源及自定义钓鱼项目适应场景分析

1.项目需求，客户无页面场景要求，可使用自定义页面，开源项目
2.项目需求，客户有页面场景要求，可使用自定义页面
3.攻防演练，可使用自定义页面，开源项目
4.安全培训，可使用自定义页面，开源项目

1.8.1.1 项目需求一：无要求(自定义+开源)

项目需求：客户无页面场景要求，可使用自定义页面，开源项目
当客户没有特定的页面场景要求时，可以选择自行开发一个钓鱼页面。这种方式可以提供高度的定制性和灵活性，但需要一定的技术能力。
对于时间紧迫或者技术能力有限的团队来说，使用开源项目是一个快速且有效的选择。开源项目通常提供了基本的钓鱼页面模板和功能，可以节省大量的开发时间。

1.8.1.1 项目需求二：有要求(自定义)

项目需求：客户有页面场景要求，可使用自定义页面
如果客户对钓鱼页面有具体的设计和功能要求，那么自定义开发是最佳选择。通过与客户沟通明确需求后，可以根据这些需求来设计和实现钓鱼页面。

1.8.1.1 项目需求三：攻防演练(自定义+开源)

攻防演练：可使用自定义页面，开源项目
在攻防演练中，无论是使用自定义页面还是开源项目都可以达到目的。但是需要注意的是，攻防演练的目的是测试系统的安全性，因此应该选择一个能够模拟真实攻击环境的钓鱼页面

1.8.1.1 项目需求四：安全培训(自定义+开源)

安全培训：可使用自定义页面，开源项目
在进行安全培训时，可以使用钓鱼页面来教育员工识别钓鱼邮件和网站。这种情况下，可以选择使用开源项目以简化流程，也可以根据培训内容定制开发钓鱼页面。

1.8.2 开源及自定义钓鱼项目优缺点分析

自定义项目：可控性高、完整度高、可应对各种场合，但耗时长、开发能力硬性要求。
开源项目：耗时短、简单操作、图形化界面、数据记录导出更直观，但应对自定义场合受限制

1.8.2.1 自定义页面（代码编写）：

优点：
可控性高、完整度高、可应对各种场合。可以根据具体需求进行定制开发，满足不同的业务场景。
缺点：
耗时长、开发能力硬性要求较高。需要具备一定的编程技能和经验才能完成高质量的钓鱼页面开发。

1.8.2.2 开源项目：

优点：
耗时短、简单操作、图形化界面、数据记录导出更直观。适合初学者和非技术人员使用。
缺点：
应对自定义场合受限制。可能无法完全满足特定业务场景的需求。

1.8.3 如何选择钓鱼项目？

时间充足有要求自定义
时间紧任务重无简单开源即可

1.8.3.1 时间充裕且客户有特殊要求

建议采用代码开发自己的钓鱼程序。这样可以确保钓鱼页面的功能和外观完全符合客户的需求。

1.8.3.2 时间紧张且任务重

如果项目时间紧迫且客户的要求相对简单，可以选择使用开源项目。这样可以快速搭建起钓鱼环境，并在短时间内完成任务。

1.8.4 钓鱼项目注意事项

性能强、自启动、框架完善、兼容性强、话术通用、邮件模板可信

1.负载性能

当进行钓鱼活动时，可能会有大量的用户请求访问服务器，因此需要确保服务器能够承受住高并发访问而不崩溃，可以通过优化代码和使用高性能的服务器硬件来提高系统的负载能力。

2.自启动

为了确保钓鱼程序在意外停止后能够迅速恢复运行，需要实现自启动机制，可以通过设置定时任务或者监控进程状态来实现。

3.自定义钓鱼框架设计

除了捕获用户的登录账号密码和诱导用户下载恶意程序外，还需要在后台记录点击人数、点击时间等信息，并提供数据导出功能以便后续分析，可以使用Xlwt库将数据写入Excel表格中。

4.兼容性

制作的恶意木马需要能够在多种操作系统上正常运行，这需要在开发过程中进行充分的测试以确保兼容性。

5.话术准备

针对不同的目标群体准备相应的话术可以提高钓鱼成功率，例如针对企业员工的钓鱼邮件可以假装来自公司内部的通知；
针对普通网民的钓鱼邮件则可以伪装成银行或其他金融机构的官方通知。

6.邮件模板格式

精心设计的邮件模板可以增加邮件的真实性和吸引力，可以使用HTML和CSS来美化邮件内容使其看起来更加专业可信，同时要注意避免使用过于复杂的样式以免引起用户的警觉。

7.注意事项解决方案

Flask+多线程+协程，部署机器的性能高一点
gunicorn + flask 前面可以部署Nginx
Xlwt库写入excel表格

1.8.5 钓鱼页面设计思路

1.8.5.1 确定目标和目的

1.明确目标

确定你想要攻击的对象（如银行客户、社交媒体用户等）。

2.定义目的

决定你希望通过钓鱼活动获得什么信息（如用户名、密码、信用卡详情等）。

1.8.5.2 研究目标网站

1.选择模仿对象

选择一个与目标用户相关的知名网站进行模仿。

2.分析布局

详细研究目标网站的布局、颜色方案、字体和图像等视觉元素。

3.了解功能

注意目标网站上的关键功能，如登录表单、搜索栏、导航菜单等。

1.8.5.3 创建钓鱼页面

1.复制外观

使用HTML/CSS来复制目标网站的外观，确保页面看起来尽可能真实。

2.设置表单

创建用于收集信息的表单字段，例如用户名、密码输入框等。

3.隐藏代码

在页面中嵌入JavaScript或其他脚本，以便在后台记录用户输入的数据。

1.8.5.4 测试钓鱼页面

1.内部测试

在发布之前，对钓鱼页面进行全面测试以确保其正常工作且无明显错误。

2.外部测试

考虑让非项目成员的人员尝试使用钓鱼页面，看看是否能够成功欺骗他们。

1.8.5.5 部署钓鱼页面

1.选择合适的域名

购买一个看起来像目标网站官方域名的域名，或者使用子域。

2.配置服务器

将钓鱼页面上传到服务器，并确保所有必要的服务都已启动。

3.监控访问

设置日志记录和监控工具以跟踪谁访问了钓鱼页面以及他们的行为。

1.8.6 钓鱼页面示例

下面是我在网上找的几张钓鱼页面，各有其可优化的点，总归就是一个宗旨，让用户看以来和真的一摸一样

相关资源

[ 提升篇 ] 钓鱼实战系列
[ 钓鱼实战系列-基础篇-4 ] 一篇文章教会你用红队思维收集目标邮箱信息-1（附邮箱收集自动化脚本）
[ 钓鱼实战系列-基础篇-4 ] 一篇文章教会你用红队思维收集目标邮箱信息-2（附邮箱收集自动化脚本）
[ 钓鱼实战系列-基础篇-4 ] 一篇文章教会你用红队思维收集目标邮箱信息-3（附邮箱收集自动化脚本）
[ 钓鱼实战系列-基础篇-5 ] 一篇文章教会你用红队思维设计钓鱼模板（附常见的钓鱼邮件模板）
[ 钓鱼实战系列-基础篇-6 ] 一篇文章让你了解邮件服务器机制(SMTP/POP/IMAP)
[ 钓鱼实战系列-基础篇-6 ] 一篇文章让你了解邮件服务器机制(SMTP/POP/IMAP)-2
[ 钓鱼实战系列-基础篇-7 ] 一篇文章教会你搭建邮件钓鱼服务器-1
[ 钓鱼实战系列-基础篇-7 ] 一篇文章教会你搭建邮件钓鱼服务器-2