GSingleFile 介绍

GSingleFile是一款浏览器插件，支持谷歌浏览器和火狐浏览器。不同于别的克隆站点工具会生成多个文件，该插件可以将站点完整的页面保存到一个 HTML 文件中，非常适配 Gophish 平台做钓鱼网页。

Firefox 浏览器插件地址:
https://addons.mozilla.org/zh-CN/firefox/addon/single-file/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
Chrome 浏览器插件地址: https://chromewebstore.google.com/detail/singlefile/mpiodijhokgodhhofbcjdecpffjipkle?hl=zh-CN&utm_source=ext_sidebar

GSingleFile 使用

以腾讯企业邮箱系统登录页面为例，选择账号密码登录方式，点击安装好的 GSingleFile 插件，即可直接克隆下载页面到一个 html 文件中。

腾讯企业邮箱地址：https://exmail.qq.com/login

打开克隆下载好的网页 html 文件，搜索 from 表单的 action 的值，将其替换为 action=""

Gophish 钓鱼网页

这里直接演示钓鱼页面使用，Gophish 钓鱼平台的基础使用不再赘述，可以参考之前写的文章：http://www.luckysec.cn/posts/63a62cd6.html

点击编辑器 Source 预览克隆到钓鱼页面效果。

点击 Email Tamples 功能，新建邮件模板，编辑内容如下

<p>您的企业邮箱账号密码即将过期，请及时登录<a href="{{.URL}}" target="_blank" title="">企业邮箱平台</a>修改密码</p>

点击 Campaigns 功能，选择提前构造好的邮件文案、钓鱼页面、钓鱼地址、攻击者邮件、受害者邮箱，发送邮件即可。

钓鱼邮件发送成功后，受害者邮箱接收邮件如下。

点击邮件中的链接，即可跳转克隆好的企业邮箱钓鱼页面。

Gophish 钓鱼效果

在 Gophish 钓鱼平台上，可以捕获到受害者中招的整个过程时间线。

Gophish 钓鱼平台详细记录了受害者访问钓鱼页面提交的数据。

【附】注意事项

当导入真实网站来作为钓鱼页面时，绝大多数情况下并非仅通过Import就能够达到理想下的克隆，通过多次实践，总结出以下几点注意事项

捕获不到提交的数据
- 导入后要在HTML编辑框的非Source模式下观察源码解析情况，如果明显发现存在许多地方未加载，则有可能导入的源码并非页面完全加载后的前端代码，而是一个半成品，需要通过浏览器二次解析，渲染未加载的DOM。这种情况下，除非能够直接爬取页面完全加载后的前端代码，否则无法利用gophish进行钓鱼，造成的原因是不满足第2点。
- 导入的前端源码，必须存在严格存在<form method=”post” ···><input name=”aaa” ··· /> ··· <input type=”submit” ··· />结构，即表单（POST方式）— Input标签（具有name属性）Input标签（submit类型）— 表单闭合的结构，如果不满足则无法捕获到提交的数据
- 在满足第2点的结构的情况下，还需要求<form method=”post” ···>在浏览器解析渲染后（即预览情况下）不能包含action属性，或者action属性的值为空。否则将会把表单数据提交给action指定的页面，而导致无法被捕获到
捕获数据不齐全
- 对于需要被捕获的表单数据，除了input标签需要被包含在
  中，还需满足该存在name属性。例如,否则会因为没有字段名而导致value被忽略
相关字段被加密
- 针对https页面的import，通常一些字段如密码会进行加密处理，这时需要通过审计导入的前端代码，找到加密的JavaScript函数（多数情况存在于单独的js文件中，通过src引入），将其在gophish的HTML编辑框中删除，阻止表单数据被加密

以上几点是在实践中总结出来的宝贵经验，或许还有其他许多坑未填，但所有的坑通常都围绕在结构中，所以如果遇到新坑，先将该结构排查一遍，还是不行，再另辟蹊径。。。

参考文章：

https://mp.weixin.qq.com/s/3xO3yDdeqmwEmkP0V4TcEg

http://www.luckysec.cn/posts/a1d5e543.html