Gophish是一个功能强大的开源网络钓鱼框架，可以轻松测试组织的网络钓鱼风险，专为企业和渗透测试人员设计。我们可以通过该框架快速生成邮件钓鱼模板并开展钓鱼行动，同时还能在后台查看到邮件的一个收发情况。

官网：https://getgophish.com/项目地址：https://github.com/gophish/gophish/releases具体部署参照项目说明下载对应版本到服务器上面解压运行就行管理后台地址和前台地址可以通过config.json来配置首次启动后后台密码会打印在控制台,建议登录后修改密码

可以查看正在进行和已完成的任务列表，新增任务也在这里。点击New Campaign新建一个钓鱼任务。

可以查看设置的收件人用户以及用户组。点击New Group新建一个收件人用户组，一般只用填写收件人邮箱地址就可以了。

可以配置发件的邮件内容，支持导入和手动编辑邮件内容。

从模板导入这里可以找一封邮件查看原文，然后直接复制原文内容导入后进行修改。导入时勾选Change Links to Point to Landing Page可以将后续设置的钓鱼页面地址替换到邮件正文导入后可以点击编辑器右上角进行预览，为了效果更好这里通常要根据实际来进行修改文案，勾选Add Tracking Image可以获得发送后邮件的状态。

添加附件这里如果附件过大，无法保存则需要修改服务器上的mysql配置文件my.cnfmax_allowed_packet=128M

最关键的钓鱼页面制作功能，可以一键导入要模仿的页面。

点击导入站点功能，输入要模拟的站点地址，可以直接生成该站点页面。

点击预览可以查看生成的页面，如果出现乱码则需要自己修改html。

在点击了抓取数据后，要注意钓鱼页面提交的表单一定要有

这类格式才能够在后台查看到提交的数据。Redirect to 是在点击提交后跳转的地址，通常来说可以跳转的真实网站的登录地址，让用户以为自己是输错了账户密码。

发件人配置，通常在实际使用过程中，我们需要注册与目标站点相似的域名，然后自己搭建邮件服务器来进行发件，这样会使目标更容易上钩。

接下来介绍如何使用Gophish来制作并发送钓鱼邮件。以钓鱼网站场景为例。

首先制作发送邮件的内容，新建一个名为demo的模板，添加邮件正文和标题。

您的密码已过期，请点击进行密码修改！

然后开始制作钓鱼网站的页面，这里我们可以通过导入的方式来生成，我就随便选择了一个网站的登录页面进行导入。导入后发现页面布局不一样，点击预览查看问题所在。可以看到是由于https和http的原因，不影响后续的使用同时我们查看源码发现该网站的提交模式正好符合我们抓取数据的方式勾选抓取数据和密码选项后保存，至此我们就完成了钓鱼页面的制作。

按照邮件服务器的配置进行填写就行了，我这里用的qq邮箱的配置，当然在真实的钓鱼环境中我们尽可能要提高伪装。

最后一步配置我们要发送钓鱼邮件的目标收件人，我这里还是发送给我自己。

上述步骤配置好了以后直接进入到Campaigns发送我们的钓鱼邮件，新建一个名为demo2的任务。这里的URL参数将会替换到之前编辑的发件模板中，在我们部署Gophish后会启动两个端口，一个是管理后台，一个就是钓鱼前端的端口，我们把前端的地址填入URL。

发送邮件后会跳转到该次任务的详情页面。进入到我们的邮箱，发现收到了邮件。同时可以在后台面板上面看到我们已经打开了这封邮件。

接下来我们点击钓鱼链接，钓鱼页面与原网站一模一样。同时管理后台状态也更新为已经打开链接。

接下来我们输入账号密码,并点击提交，我们在后台成功获取到提交的数据，同时状态也更新为已提交数据。

至此我们就成功进行了一次网页钓鱼攻击，获取到目标的账户密码。