文章总结： 本文整理了10款主流社工钓鱼工具，涵盖邮件钓鱼、网站克隆、WiFi劫持与会话劫持等领域。详细介绍了PhishingFrenzy、GoPhish、CobaltStrike及Evilginx等工具的功能特点与适用场景，区分了企业安全培训与红队行动的工具选择策略。文章旨在为渗透测试人员提供技术参考，强调合规使用，内容实用性强，适合安全从业人员快速了解当前主流钓鱼工具栈。 综合评分： 72 文章分类： 社会工程学,安全工具,红队,渗透测试

【2026最新】社工钓鱼工具推荐合集

原创

小智 小智

智榜样网络安全学习中心

2026年3月27日 13:59 湖南

❝

🌞我的经验：在渗透测试和红队行动中，社工钓鱼往往是突破边界很重要的一环。

本文精选了10款主流的钓鱼工具，涵盖邮件钓鱼，网站克隆，WIFI劫持，会话劫持等等

想要学习更多的渗透测试知识？欢迎关注我们官方的B站，每天更新在线的学习视频，智榜样官方B站

❝

💖 温馨提示：本文一切操作基于本地环境复现，请不要利用文章中的任何技术对未授权的靶标进行渗透测试，这样属于违法行为，如有使用，还请自行承担所造成后果，与智榜样网络安全无关。

1、Phishing Frenzy

这是一个由Ruby编程语言写高性能，可扩展的网络钓鱼框架，一款红队高度定制化的框架

image-20251209164543284

http://github.com/pentestgeek/phishing-frenzy

2、Ghost Phisher

这个工具集成了无线钓鱼、DNS欺骗、HTTP服务器等的图形化工具（利用Python Qt GUI编写）该程序能够模拟接入点并部署各种内部网络服务器，用于网络，渗透测试和网络钓鱼攻击。

image-20251209164616488

http://github.com/savio-code/ghost-phisher

3、wifipumpkin3

wifipumpkin3是一个强大的流氓接入点攻击框架，用Python编写，允许并提供给安全研究人员，红队和逆向工程师安装无线网络来进行中间人攻击。

支持创建虚假WiFi、实时流量操控、凭证捕获、中间人攻击等，模块化设计。

❝

💖 温馨提示：需要配合无线网卡（支持监听模式）使用，实战中需注意物理环境

image-20251209164807916

https://github.com/P0cL4bs/wifipumpkin3

4、GoPhish

Gophish是一个为企业和渗透测试人员设计的开源网络钓鱼工具包。

它提供了完整的活动管理、邮件模板、目标分组、数据统计和可视化报告，易于部署和使用。

❝

🎯适合场景：内部员工安全意识培训、定期钓鱼演练。

image-20251209164849795

http://github.com/gophish/gophish

5、kali setoolkit

Setoolkit是一款功能强大的社会工程学工具集，它可以帮助安全研究人员和渗透测试人员模拟各种社会工程学场景，以评估目标系统的安全防御能力。本文通过一篇文章，由浅到深让你完全掌握Setoolkit使用。

image-20251209170651919

如何使用？打开菜单栏，搜索关键字Setoolkit双击打开即可

image-20251216155525526

6、Cobalt Strike

商业级协同APT模拟平台，钓鱼是其核心功能模块之一。不仅支持网站克隆钓鱼，还集成邮件钓鱼、二维码攻击、USB攻击等多种向量。

❝

🎯 实战经验：使用site clone功能时，注意处理动态JS，否则克隆的登录可能功能异常。

image-20251209170845456

7、Zphisher

一个带有30多个模板的自动网络钓鱼工具。此工具仅用于教育目的！

集成30+个高质量钓鱼模板的自动化脚本。

操作很简单，一条命令即可选择模板、部署服务，适合快速测试。

image-20251209164915547

http://github.com/htr-tech/zphisher

8、BlackPhish

功能丰富且运行速度极快的钓鱼工具，代码精简，依赖少，在资源有限的VPS上也能流畅运行

img

http://github.com/iinc0gnit0/BlackPhish

9、I-See-You

ISeeYou是一个Bash和Javascript工具，用于在社会工程或网络钓鱼活动中查找用户的确切位置。使用精确的位置坐标，攻击者可以进行初步侦察，这将有助于他们进行进一步的有针对性的攻击。

image-20251209165048583

http://github.com/Viralmaniar/I-See-You

10、Evilginx

独立的中间人攻击框架，用于钓鱼登录凭据和会话cookie

❝

🔍核心价值：可有效绕过多数双因素认证（2FA），获取活跃会话，直接登录目标账户。

image-20251209165225560

https://github.com/kgretzky/evilginx2

📝 如何选择？

工具那么多，怎么选择呢，接下来就简单介绍一下吧

如果你的需求是在企业进行安全培训，那么GoPhish会是一个非常合适的工具，它合规，而且报告完善

如果主要是用于红队行动，那么就选择Cobalt Strike和Evilginx2，他们的功能强大，隐匿性强

❝

💖 温馨提示：请不要利用文章的任何技术手段，做非法的事儿，如果使用，自行承担所造成的任何后果。

🎁文末福利

分享本文到朋友圈，点赞+在看+关注，一键三联，可以凭截图找老师领取

上千学习资料+工具哦

22919c6e4ef945aa9a9cbf0f6df4f6ff

分享后扫码加我！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智榜样网络安全学习中心 小智 小智《【2026最新】社工钓鱼工具推荐合集》