前不久公司组织了一回以钓鱼邮件入侵为核心的防御活动内容，针对入侵方而言，方向是提

升钓鱼邮件战斗能力，包含探究各式各样钓鱼方法和实战经验。针对防御方而言，方向是检测企

业钓鱼邮件安全防护管理体系，包含有关防护设备检测水平、产品运营能力、职工安全防范意识

、应急处置水平等，可是据说也有个缘故是安全部快到年底成本预算没花掉.

 

 

 

特别有幸我可以有可能参加本次活动内容，从一开始感觉不便是发些钓鱼邮件吗，能有多大技术

难度，软文结构的美观大方一点就可以了，可是看专业人员们秀各式各样应用才搞清楚钓鱼防御

尽管仅仅是互联网安全中的1个小点，可是深入分析依然有很多须要学习培训的信息。因而我就

对近期学习培训的信息开展一回小结。
 

 

入侵

 

事先提前准备

 

钓鱼邮件的拒绝服务攻击一般 有二种：

 

1.构建钓鱼网页代码诱惑受害人点开，得到关键账户密码，或是运用网页系统漏洞可以直接得到

管理权限.
 

2.收到含有恶意的附件的邮箱，诱惑受害人开机运行.
 

因此开始之前咱们须要提前准备1个钓鱼网址，为了更好地能能让钓鱼网址在外网地址浏览，还

须要1个云服务器，若要得到更强的掩藏实际效果，还须要1个用以掩藏的网站域名。云服务器

和网站域名都拿到手后，还能够构建归属于自个的邮件服务器用于发送邮件。应用恶意的附件

的情况下，还须要提前准备1个恶意的范本.能做脱壳破解的情况下就更强了，收到shell的情况

下，同时须要1个云服务器。

 

 

提前准备环节也许就需要耗费很多的时长和钱财，云服务器和网站域名须要订购，钓鱼网址须

要制造，云服务器须要构建网址环境挂上咱们制造的钓鱼，服务器端须要独立写收到账户密码

post请求的功能模块，有的程序是token登陆，因而账户密码也有及时性，为了能确保能短时

间内证实钓鱼取得成功，还须要开发设计快速登录方向截屏的功能模块。应用云服务器收到

shell还须要构建远程控制服务器端，能够采用MSF、S4、Empire或是别的大佬们用着便捷的

专用工具，也有各式各样的准备工作。最终便是最重要的，也要搞好信息收集，熟练掌握方向

的现况，例如最近有什么活动内容、管理者常常用哪些的模版邮件发送等，熟练掌握充足的情

报信息能够协助咱们结构出易于令人上当的邮箱信息。

 

 

从无到有做以上准备工作的情况下，我这类小白七天时长都远远不够……
 

如果不具有一点基础建设，能够采用现有的专用工具来协助邮件发送，网络上有一个透明化

的网址能够便捷的收到假冒邮箱。欲穷千里试验室的1个大哥在Github上也开源代码了1个邮

箱假冒专用工具，亲自测试也很好用。