PhEmail：基于Python的开源网络钓鱼测试工具

PhEmail简介

PhEmail是一款采用Python编程语言开发的开源网络钓鱼邮件工具，它可以帮助研究人员在进行社会工程学测试的过程中自动化地给目标发送网络钓鱼邮件。PhEmail不仅可以同时向多个目标用户发送钓鱼邮件并识别出哪些用户点击了邮件，而且还可以在不利用任何浏览器漏洞或邮件客户端漏洞的前提下尽可能多地收集信息。PhEmail自带的引擎可以通过LinkedIN来收集电子邮箱地址，这些数据可以帮助测试人员完成信息采集阶段的一部分工作。

除此之外，PhEmail还支持Gmail身份验证，这一功能在目标站点屏蔽了邮件源或IP地址的情况下会非常有用。值得一提的是，该工具还可以克隆目标组织或企业的门户网站登录界面，测试人员可以用这些伪造的页面来窃取目标用户的登录凭证。

使用样例

一般来说，第一步是收集目标企业的邮箱地址。PhEmail的搜索引擎在收集到了企业邮箱地址之后，会将它们保存在一个文件中，演示代码如下：

得到了企业邮箱地址之后，接下来就要创建钓鱼邮件模板了。模板中的每一个URL必须要包含一个字符串”{0}”，因为脚本会自动将这个字符串替换成正确的URL地址。一次真实的测试场景截图如下：

接下来，我们需要在Web服务器上安装php环境并将php文件”index.php”复制到Web服务器的根目录下。这个文件中包含的JavaScript代码会收集浏览器信息并将其保存到/tmp目录下的日志文件中。演示实例如下：

接下来，你只需要等待目标用户点击钓鱼邮件，然后你就能够收集到目标用户的某些浏览器信息了：

【GitHub传送门】

工具下载

你可以直接通过克隆PhEmail的GitHub代码库来完成工具的下载：

git clone https://github.com/Dionach/PhEmail

工具使用

请不要在没有得到目标用户事先同意的情况下实用PhEmail来进行测试，由使用者自身使用不当所带来的问题开发人员不承担任何责任，同时我们也对PhEmail所带来的损失概不负责，请大家妥善使用。

其他参考资料