声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！

攻防演练中常规外网打点方式越来越难，钓鱼手法进入内网稍比web攻击显得轻而易举。

0x01 钓鱼研究

钓鱼不仅是一种户外运动，更是一种网络安全攻击技术。本项目用于记录钓鱼攻击的相关内容，包括优秀的钓鱼技术技巧或优秀的钓鱼实战项目案例等。钓鱼攻击源于技术，又高于技术。钓鱼攻击源于欺骗，欺骗的尽头是免杀。深入研究并积极实践社工技术，在很多场合往往可以产生意想不到的结果！致敬凯文！

0x02 钓鱼攻击资源

一、钓鱼书籍

二、钓鱼文章

•  https://xz.aliyun.com/t/12682

•  https://xz.aliyun.com/t/12247

•  https://xz.aliyun.com/t/12020

•  https://xz.aliyun.com/t/11980

•  https://xz.aliyun.com/t/11898

•  https://xz.aliyun.com/t/11885

•  https://xz.aliyun.com/t/11655

•  https://xz.aliyun.com/t/11519

•  https://xz.aliyun.com/t/11400

•  https://xz.aliyun.com/t/12247

•  https://xz.aliyun.com/t/11400

•  https://xz.aliyun.com/t/11471

•  https://xz.aliyun.com/t/11300

•  https://xz.aliyun.com/t/10878

•  https://xz.aliyun.com/t/10339

•  https://xz.aliyun.com/t/9549

•  https://xz.aliyun.com/t/9159

•  https://xz.aliyun.com/t/8705

•  https://xz.aliyun.com/t/7958

•  https://xz.aliyun.com/t/6763

•  https://xz.aliyun.com/t/6325

•  https://xz.aliyun.com/t/5412

•  https://xz.aliyun.com/t/4556

•  https://xz.aliyun.com/t/3526

•  https://xz.aliyun.com/t/153

•  https://www.ibm.com/cn-zh/topics/phishing

•  https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC/1401858

•  https://info.support.huawei.com/info-finder/encyclopedia/zh/%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC.html

•  https://www.kaspersky.com.cn/resource-center/definitions/spear-phishing

•  https://powerdmarc.com/zh/phishing-vs-spoofing/

•  https://powerdmarc.com/zh/why-is-phishing-so-effective/

•  https://www.secrss.com/articles/50739

•  https://www.secrss.com/articles/27115

•  https://help.eset.com/ems/6/zh-CN/antiphishing.html

•  https://www.zhihu.com/question/348776633

•  https://www.4hou.com/posts/nmOP

•  https://www.51cto.com/article/223380.html

•  https://www.wangan.com/wenda/7497

•  https://hackernoon.com/zh/%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC-101-%E5%85%B3%E4%BA%8E%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC%E6%94%BB%E5%87%BB%E7%9A%84%E5%88%9D%E5%AD%A6%E8%80%85%E6%8C%87%E5%8D%97

•  http://www.cnetsec.com/article/32731.html

•  https://www.icann.org/resources/pages/phishing-2013-05-03-zh

•  https://academy.binance.com/zh/articles/what-is-phishing

•  https://www.freebuf.com/tag/%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC

三、钓鱼项目

•  https://github.com/topics/phishing

•  https://github.com/kgretzky/evilginx2

•  https://github.com/rev1si0n/another-tmp-mailbox

•  https://github.com/makdosx/mip22

•  https://github.com/SkewwG/henggeFish

•  https://github.com/taielab/Taie-AutoPhishing

•  https://github.com/winezer0/FishingAutoMonitor

•  https://github.com/5icorgi/SpoofWeb

•  https://github.com/tib36/PhishingBook

•  https://github.com/bingpo/FishingAutoMonitor

0x03 钓鱼攻击技术

一、批量发送邮件

• https://github.com/chenjj/espoofer

二、钓鱼邮件模板

三、钓鱼网站制作

• https://mp.weixin.qq.com/s/2QDLDuOS_ieknSgrF2bz2w

四、钓鱼样本分析

五、鱼钩隐藏技术

0x04 钓鱼漏洞研究

• https://github.com/komomon/CVE-2022-30190-follina-Office-MSDT-Fixed

• https://github.com/j5s/CVE-2021-40444

文章作者：0e0w

文章来源：https://github.com/Getshell/Phishing

往 期 精 彩

攻防演练姿势总结

安全WIKI-HW时提供一手漏洞情报

某次授权渗透通过供应链拿到目标后台权限

原文始发于微信公众号（李白你好）：钓鱼研究合集！致敬黑客Kevin Mitnick