Важной частью пентеста является социальная инженерия, поэтому сегодня мы поговорим про фишинговые рассылки и про фреймворк Gophish, для автоматизации процесса.
Gophish это фреймворк для рассылки фишинговых писем, позволяющий создавать письма и копии Web-страниц, а так же позволяющий управлять рассылками, и производить мониторинг статуса рассылок. Перед использованием фреймворка его нужно установить. Я ставил на чистый Debian.
Способов установки есть два. Либо скачать уже скомпилированный вариант с официального сайта Gophish, либо скачать исходники и скомпилировать самому.
Установка скомпилированной версии
Установим необходимые пакеты:
apt-get install openssl
Скачиваем с сайта Gophish версию подходящую под вашу систему (в принципе есть версия даже под Windows, но я устанавливал все под Linux).
разархивируем:
unzip gophish_linux_64bit.zip
делаем файл gophish исполняемым:
chmod +x gophish_linux_64bit/gophish
Если решили установить скомпилированную версию, то далее переходим к конфигурации Gophish, пропустив следующий блок.
Установка из исходников
Установим необходимые пакеты:
apt-get install golang-go git openssl
укажем рабочую папку, для Go(ее так же можно указать на постоянной основе для нужного, записав данную строку в конец файла ~/.profile, который лежит в домашней директории):
export GOPATH=$HOME/go
Создадим рабочую папку:
mkdir ~/go
Теперь скачаем исходники Gophish с github:
go get github.com/gophish/gophish
Сменим рабочую папку на папку исходников:
cd ~/go/src/github.com/gophish/gophish/
и запустим компиляцию:
go build
На выходе получим исполняемый файл gophish, но прежде чем его запускать – изменим конфигурацию под себя.
Конфигурация Gophish
Перейдем в папку, где установлен Gophish и создадим SSL ключи и сертификаты (gophish_admin.key и gophish_admin.crt, они будут использоваться для защищенного доступа в административную панель). Для создания ключа и сертификата выполним команду:
openssl req -newkey rsa:2048 -nodes -keyout gophish_admin.key -x509 -days 365 -out gophish_admin.crt
и ответим на вопросы (страна, город и т.д.).
Теперь откроем конфигурационный файл config.json (находится в той же папке, что и исполняемый файл gophish) и изменим в нем нужные нам параметры.
Нас будет интересовать секция admin_server.
Поменяем в ней парамеры:
listen_url – адрес и порт, на котором будет работать панель администрирования (можно указать 0.0.0.0:3333, чтобы доступ был с любого интерфеса);
use_tls – использовать TLS для доступа к панели администратора;
cert_path – ранее созданный сертификат;
key_path – ранее созданный приватный ключ.
Должно получиться примерно так:
"admin_server" : {
"listen_url" : "0.0.0.0:3333",
"use_tls" : true,
"cert_path" : "gophish_admin.crt",
"key_path" : "gophish_admin.key"
},
Если требуется, то в секции phish_server можно так же внести изменения, но мне это не требовалось.
phish_server – это фишинговый сервер, на который будут заходить клиенты, соответственно он должен быть виден извне.
Теперь сохраняем конфигурационный файл и запускаем Gophish:
./gophish
В консоли мы увидим информацию об адресах и портах, на которых запущен Gophish:
Starting phishing server at http://0.0.0.0:80
Starting admin server at https://0.0.0.0:3333
Один из небольших минусов Gophish – он не умеет запускаться в режиме демона, поэтому при закрытии консоли сервер будет остановлен. Как сделать чтобы приложение работало постоянно – рассказывается в статье: Запуск приложения в режиме «daemon» в Linux.
Далее подключаемся браузером к административному интерфейсу, находящемуся по адресу, который был указан в настройках (локально это будет https://127.0.0.1:3333).
Вход в панель администратора
по умолчанию создан пользователь с реквизитами:
Имя пользователя: admin
Пароль: gophish
Далее переходим во вкладку Settings и меняем пароль пользователя admin, а так же делаем смену API ключа, нажав кнопку Reset, чтобы исключить не авторизованные подключения.
Вход в панель администратора
Первичная настройка Gophish закончена. Теперь можно создать первую рассылку, о том как это сделать – рассказывается в статье: Gophish Framework. Создание фишинговой рассылки.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|