PhEmail簡介

PhEmail是一款採用Python程式語言開發的開源網路釣魚郵件工具，它可以幫助研究人員在進行社會工程學測試的過程中自動化地給目標傳送網路釣魚郵件。PhEmail不僅可以同時向多個目標使用者傳送釣魚郵件並識別出哪些使用者點選了郵件，而且還可以在不利用任何瀏覽器漏洞或郵件客戶端漏洞的前提下儘可能多地收集資訊。PhEmail自帶的引擎可以通過LinkedIN來收集電子郵箱地址，這些資料可以幫助測試人員完成資訊採集階段的一部分工作。

除此之外，PhEmail還支援Gmail身份驗證，這一功能在目標站點遮蔽了郵件源或IP地址的情況下會非常有用。值得一提的是，該工具還可以克隆目標組織或企業的入口網站登入介面，測試人員可以用這些偽造的頁面來竊取目標使用者的登入憑證。

使用樣例

一般來說，第一步是收集目標企業的郵箱地址。PhEmail的搜尋引擎在收集到了企業郵箱地址之後，會將它們儲存在一個檔案中，演示程式碼如下：

得到了企業郵箱地址之後，接下來就要建立釣魚郵件模板了。模板中的每一個URL必須要包含一個字串”{0}”，因為指令碼會自動將這個字串替換成正確的URL地址。一次真實的測試場景截圖如下：

接下來，我們需要在Web伺服器上安裝php環境並將php檔案”index.php”複製到Web伺服器的根目錄下。這個檔案中包含的JavaScript程式碼會收集瀏覽器資訊並將其儲存到/tmp目錄下的日誌檔案中。演示例項如下：

接下來，你只需要等待目標使用者點選釣魚郵件，然後你就能夠收集到目標使用者的某些瀏覽器資訊了：

【GitHub傳送門】

工具下載

你可以直接通過克隆PhEmail的GitHub程式碼庫來完成工具的下載：

git clone https://github.com/Dionach/PhEmail

工具使用

請不要在沒有得到目標使用者事先同意的情況下實用PhEmail來進行測試，由使用者自身使用不當所帶來的問題開發人員不承擔任何責任，同時我們也對PhEmail所帶來的損失概不負責，請大家妥善使用。

其他參考資料