文章总结： 本文详细讲解网络钓鱼全流程，涵盖利用特定工具搜集目标邮箱及通过微信建立信任进行社工攻击。重点介绍腾讯企业邮搭建与登录页面克隆技术，包括配置ApachePHP环境、保存伪造页面及编写PHP接收凭证。文章还提供了绕过前端JS加密获取明文密码及解决乱码问题的具体方法，并建议利用初始权限进行二次钓鱼或内网渗透。 综合评分： 83 文章分类： 社会工程学,红队,WEB安全

钓鱼页面高度仿真伪造-手把手教学

Hyyrent

0xSecurity

2026年1月13日 10:17 广东

邮箱搜集

在线平台搜集，推荐两个好用的平台

https://app.snov.io/

http://www.skymem.info/

社工钓鱼

一般钓鱼对象选取安全意识比较薄弱的岗位，如客服、招聘HR，在互联网或招聘app上可以搜集到

这次方式是制作简历捆绑马，需要准备cs免杀马一枚和一份虚假简历，钓鱼关键是话术

聊天一上来就发个文件，任谁都有警惕性，先加上聊熟了再去发送文件，建立良好关系是第一步，这和谈恋爱是一样的，目的性不能太强

然后就是钓鱼平时先养好微信小号，定期更新朋友圈，这样才显得真实

图标提取

https://github.com/JarlPenguin/BeCyIconGrabberPortable

图标替换

https://github.com/guitarfreak/SetIcon

邮件钓鱼

1、个人邮箱（126邮箱、qq邮箱）

优点：注册快捷简单，即开即用

缺点：邮件发送次数限制，敏感关键字屏蔽，极大几率邮件被退信

2、腾讯企业邮

优点：单次发送数量多，邮件不易被邮件服务器拦截

缺点：需要配置，耗费一定的时间

腾讯企业邮搭建

我搭建使用的是namesilo+cloudflare+腾讯企业邮

1、买个与目标相似的域名，这里选用namesilo，付款可以支付宝比较方便

位置填入cloudflare的两个地址，在第二步会有提及

2、cloudflare添加站点

计划选择免费即可

这两个地址填到第一步namesilo的位置

3、腾讯企业邮点击立即注册

https://work.weixin.qq.com/mail/

注册完成后在管理后台添加注册域名

把记录填入到cloudflare的dns位置，选择MX类型，MX优先级保持一致即可

搭建好之后便可以开始制作钓鱼邮件了

钓鱼话术参考：主题内容贴近生活，用补贴奖品增加吸引力

各位领导，同事：

趁2022国庆佳节之际，意为感谢全体员工牺牲个人时间为医院发展的辛勤付出，为体现多元化人文关怀，特此为大家准备丰厚礼物，关于礼品发放详情请[登录]进行查看：

提前祝大家国庆欢乐！

钓鱼页面伪造

注册一个与目标名字相似的域名，解析到VPS上，在VPS上部署一个伪造页面，这次伪造的是腾讯企业邮

环境搭建：apache+php

安装php
yum install php php-mysql php-gd libjpeg* php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-bcmath php-mhash

安装apache
yum install httpd* -y

开启apache服务
service httpd start

关闭apache服务
systemctl stop httpd.service

检查状态
systemctl status httpd.service

更改配置文件/etc/httpd/conf/httpd.conf，这里修改/var/www/mail为根目录，也可以使用默认配置

寻找需要伪造的站点，这里伪造的是腾讯企业邮，通过ctrl+s直接保存html相关资源文件至根目录

在根目录下建立一个php文件用于接收输入的账号密码，并把结果输出到result.txt里

获取参数时参数名要和待伪造的文件内参数名保持一致

将用户登录表单对应的action改为的login.php文件

搭建完成后，前端抓包测试发现输入的密码全转换为0，导致后端输出的结果也变为0

对网站前端html文件进行处理，把处理密码pp值相关js代码进行注释

成功获取到明文密码

在部署过程中可能会碰到乱码的情况，这时候修改Apache服务器字符编码即可，相应的资源文件也要以相同编码保存

vi /etc/httpd/conf/httpd.conf
AddDefaultCharset UTF-8改成GB2312

systemctl restart httpd

修改完成后最终结果：

搜集第一批邮箱进行投递，投递完成后等着鱼儿上钩

等鱼儿上钩后，登录oa或邮箱系统获取更多员工的邮箱进行二次钓鱼，或者可以利用内网邮箱直接投递

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity Hyyrent《钓鱼页面高度仿真伪造-手把手教学》