网络钓鱼仍然是网络安全攻击和意识领域最常见和最有效的技术之一。无论你是渗透测试人员、网络安全爱好者，还是负责构建组织防御的人，了解网络钓鱼工具的运作方式都至关重要。本文深入探讨了 2024 年 20 大网络钓鱼工具，每个工具都提供独特的功能，从电子邮件和 SMS 网络钓鱼到 Wi-Fi 和 QR 码操作，旨在模拟真实世界的攻击。

本文提供了每个工具的详细说明、使用说明和功能亮点，提供了有效和负责任地使用这些工具所需了解的一切。了解哪些工具可用于特定场景，从社会工程到凭据收集，并了解这些工具如何有助于创建更好的网络安全防御。请继续阅读，了解这些工具如何增强您的安全评估和网络钓鱼模拟！

免责声明：此信息仅用于教育和道德测试目的。未经授权使用这些工具是非法的，严禁使用。

1. SEToolkit

https://github.com/trustedsec/social-engineer-toolkit

SEToolkit 是一个功能强大且用途广泛的社会工程框架，渗透测试人员使用它来模拟现实世界的网络钓鱼攻击。

主要特点：

• 鱼叉式网络钓鱼攻击媒介：制作针对特定个人的自定义电子邮件。

• 网站攻击媒介：克隆合法网站以捕获凭据。

• Credential Harvester：从访问克隆站点的目标捕获登录凭证。

如何使用：

1. 从 SEToolkit 的 GitHub 页面下载并安装 SEToolkit。

2. 运行 SEToolkit 并选择社会工程媒介，例如网站或电子邮件网络钓鱼。

3. 克隆目标网站并发起攻击，等待终端中的结果。

 2.Evilginx2

https://github.com/kgretzky/evilginx

Evilginx2 是一种高级网络钓鱼工具，专注于通过捕获会话 cookie 来绕过双因素身份验证。

 主要特点：

• 代理网络钓鱼：充当中间人 （MITM） 代理，捕获凭据和会话 Cookie。

• 模块化网络钓鱼场景：轻松定制 Facebook 或 Google 等各种网站。

 如何使用：

1. 从 GitHub 安装 Evilginx2。

2. 为真实的 HTTPS 网络钓鱼站点配置域并设置 SSL。

3. 为要克隆的站点选择一个模板，然后与目标共享网络钓鱼链接。

4. 访问后，Evilginx2 会捕获登录详细信息和会话 cookie。

 3. HiddenEye-Reborn

https://github.com/D4rkS3c-Group/HiddenEyeReborn

HiddenEye-Reborn 以克隆多个平台而闻名，它可以捕获登录详细信息并将其提供给攻击者。

主要特点：

• 可定制的登录页面：包括适用于社交媒体和电子邮件提供商的预配置模板。

• 多种网络钓鱼方法：支持通过电子邮件、短信和社交媒体进行网络钓鱼。

 如何使用：

1. 从 GitHub 克隆 HiddenEye-Reborn。

2. 选择网站模板并创建网络钓鱼链接。

3. 将链接发送到目标，凭证将记录在本地计算机上。

 4. SocialFish

https://github.com/UndeadSec/SocialFish

SocialFish 是一种易于使用的工具，用于网络钓鱼工具和信息收集。

 主要特点：

• 社交媒体模板：包括适用于 Facebook 和 Instagram 等平台的内置网络钓鱼模板。

• 兼容性：适用于 Windows 和 Linux 系统。

如何使用：

1. 从 GitHub 安装 SocialFish。

2. 选择社交媒体平台模板并生成网络钓鱼链接。

3. 分享链接，SocialFish 会实时捕获凭证。

5. I-See-You（使用网络钓鱼获取位置）

https://github.com/Viralmaniar/I-See-You

I-See-You 通过网络钓鱼链接获取 GPS 位置数据来利用目标的设备。

主要特点：

• 实时位置捕获：获取准确的 GPS 坐标。

• 目标设备识别：识别受害者使用的设备类型。

 如何使用：

1. 从 GitHub 下载 I-See-You。

2. 生成网络钓鱼链接，提示目标共享位置数据。

3. 目标单击后，该工具会记录并显示其 GPS 位置。

6. SayCheese（网络摄像头快照）

https://github.com/hangetzzu/saycheese

此工具访问目标的网络摄像头以通过网络钓鱼链接拍摄快照。

 主要特点：

• 网络摄像头激活：通过精心设计的网络钓鱼页面捕获快照。

• 轻量级和高效：快速部署所需的最少设置。

 如何使用：

1. 从 GitHub 克隆 SayCheese。

2. 生成网络钓鱼链接并与目标共享。

3. 访问链接后，SayCheese 会激活网络摄像头并保存图像。

 7. QR Code Jacking

https://github.com/cryptedwolf/ohmyqr

QR Code Jacking 操纵 QR 码将受害者重定向到网络钓鱼网站。

 主要特点：

• 可定制的二维码：为社交媒体和其他网站创建二维码。

• 匿名跟踪：QR 码隐藏网络钓鱼链接，使其更难被发现。

 如何使用：

1. 从 GitHub 获取 QR Code Jacking。

2. 输入网络钓鱼 URL，并生成 QR 码。

3. 共享 QR 码，并等待扫描 QR 码的目标的登录凭证。

 8. ShellPhish

https://github.com/richardsonjf/shellphish

ShellPhish 是一种高度灵活的网络钓鱼工具，支持多个社交媒体和电子邮件提供商。

 主要特点：

• 多平台网络钓鱼模板：支持许多流行的网站。

• 命令行界面：使用几个命令提示符轻松设置。

 如何使用：

1. 从 GitHub 安装 ShellPhish。

2. 选择一个模板，并将链接发送到目标。

3. 凭证被捕获并直接显示在终端中。

 9. BlackPhish

https://github.com/yangr0/BlackPhish

BlackPhish 非常适合生成虚假登录页面和捕获凭据。

 主要特点：

• 自动 IP 日志记录：跟踪目标的 IP 地址。

• 响应式网络钓鱼页面：确保跨设备的兼容性。

 如何使用：

1. 从 GitHub 下载 BlackPhish。

2. 选择网络钓鱼页面模板，生成链接，然后等待登录详细信息。

 10. ShellPhish

https://github.com/htr-tech/zphisher

这是 ShellPhish 的修改版本，提供了更多模板和高级功能。

 主要特点：

• 增强的模板种类：包含许多用于社交媒体的附加模板。

• 自动登录捕获：自动保存凭据。

 如何使用：

1. 从 GitHub 克隆 Zphisher。

2. 选择所需的模板，共享链接，然后等待捕获的凭证。

 11. PhishX

https://github.com/rezaaksa/PhishX

PhishX 为各种平台提供逼真的网络钓鱼页面。

 主要特点：

• 反机器人验证：确保只有真正的访问者才能访问该页面。

• 多种网络钓鱼媒介：支持电子邮件、短信和社交媒体网络钓鱼。

 如何使用：

1. 从 GitHub 下载 PhishX。

2. 选择一个平台，生成一个链接，然后等待来自目标的凭证。

 12. Gophish

https://github.com/gophish/gophish

Gophish 是一个开源网络钓鱼框架，通常用于大规模活动。

 主要特点：

• 活动管理：管理和跟踪多个活动。

• 用户友好的仪表板：提供用于配置和跟踪的 GUI。

 如何使用：

1. 从 GitHub 安装 Gophish。

2. 使用自定义链接设置电子邮件活动并跟踪响应。

 13. Wifiphisher

https://github.com/wifiphisher/wifiphisher

Wifiphisher 旨在创建虚假的 Wi-Fi 接入点来捕获凭据。

 主要特点：

• Wi-Fi 网络网络钓鱼：用户连接到虚假网络并输入凭据。

• 自动网络设置：模拟合法的网络行为。

 如何使用：

1. 从 GitHub 安装 Wifiphisher。

2. 配置接入点并等待用户连接。

 14. Phishing Frenzy

https://github.com/pentestgeek/phishing-frenzy

Phishing Frenzy 是一个基于 Ruby 的框架，专为大规模网络钓鱼活动而构建，提供详细的跟踪和分析。

 主要特点：

• 电子邮件跟踪和分析：监控打开的电子邮件、点击的链接和输入的凭据。

• 模板库：包括各种预构建的电子邮件和网页模板。

 如何使用：

1. 从 GitHub 安装 Phishing Frenzy。

2. 配置电子邮件服务器设置并选择模板。

3. 部署活动、跟踪指标并从内置控制面板收集结果。

 15. Ghost Phisher 

https://github.com/savio-code/ghost-phisher

Ghost Phisher 模拟 Wi-Fi 接入点和 Web 服务器，通过虚假的强制门户捕获登录凭据。

 主要特点：

• 虚假强制网络门户：当用户连接到 Wi-Fi 时，将用户重定向到登录页面。

• ARP 欺骗：将合法流量重定向到恶意页面。

 如何使用：

1. 从 GitHub 下载 Ghost Phisher。

2. 设置 Wi-Fi 接入点，配置强制网络门户，并监控连接的设备。

 16. BlackEye

https://github.com/EricksonAtHome/blackeye

BlackEye 为热门网站提供即用型网络钓鱼模板，并且高度可定制。

 主要特点：

• 预配置模板：涵盖社交媒体、电子邮件和电子商务平台。

• 基于 CLI：用于快速部署的简单命令行界面。

 如何使用：

1. 从 GitHub 安装 BlackEye。

2. 选择模板，生成链接，并从受害者那里捕获凭据。

 17. King-Phisher 

https://github.com/rsmusllp/king-phisher

King-Phisher 是一种灵活的工具，它将网络钓鱼与社会工程策略相结合，以应对更复杂的攻击。

 主要特点：

• 活动管理：管理和跟踪多个活动。

• 电子邮件欺骗：发送看起来逼真的网络钓鱼电子邮件。

 如何使用：

1. 从 GitHub 克隆 King-Phisher。

2. 创建网络钓鱼活动并使用自定义模板发送电子邮件。

3. 跟踪目标的交互并收集量度。

 18. SpookPhish

SpookPhish 旨在轻量级且适用于简单的网络钓鱼场景。

 主要特点：

• 可定制的网络钓鱼页面：易于修改以模拟各种平台。

• 紧凑快速：只需最少的设置。

 如何使用：

1. 从 GitHub 下载 SpookPhish。

2. 选择模板并生成链接，然后捕获目标输入的任何凭据。

19. PyPhisher

https://github.com/minhgia6/PyPhisher

PyPhisher 是一种基于 Python 的工具，为网络钓鱼提供了简单的设置，适合初学者。

 主要特点：

• 基于 Python 的 CLI：简单的命令行界面。

• 多样化的模板：为主要站点预配置模板。

 如何使用：

1. 从 GitHub 克隆 PyPhisher。

2. 选择要克隆的站点，生成链接，然后等待目标参与。

 20. HiddenPhish

HiddenPhish 专为无法检测的网络钓鱼链接而构建，使目标更难识别网络钓鱼尝试。

主要特点：

• 屏蔽 URL：创建看起来合法的网络钓鱼链接。

• 多服务支持：包括主要平台的模板。

 如何使用：

1. 从 GitHub 下载 HiddenPhish。

2. 配置网络钓鱼页面并与您的目标共享链接。

本文中的每个工具都提供了适合网络钓鱼模拟和安全意识中不同场景的独特功能。以下是何时使用每个 API 的快速摘要：

• 对于初学者：尝试 PyPhisher 或 Zphisher，因为它们提供基于 CLI 的简单设置。

• 对于 Wi-Fi 网络钓鱼：Wifiphisher 和 Ghost Phisher 是首选，专为基于网络的网络钓鱼而设计。

• 对于高级需求：King-Phisher 和 Phishing Frenzy 可针对复杂的活动进行高度定制。

当负责任地使用这些工具来测试和提高安全性时，这些工具将非常强大。然而，未经授权的使用是非法和不道德的。

原文始发于微信公众号（赛哈文）：2024年20 大网络钓鱼工具