CredSniper：一款强大的开源钓鱼工具

项目介绍

CredSniper 是一款专为安全测试人员设计的开源钓鱼工具，能够轻松部署一个带有SSL证书的钓鱼网站，并捕获用户的登录凭证和双因素认证（2FA）令牌。该项目由著名的信息安全公司 Black Hills Information Security 支持，旨在帮助安全专家在受控环境中测试和提升系统的安全性。

项目技术分析

CredSniper 基于 Python Flask 框架开发，使用 Jinja2 模板引擎来渲染钓鱼页面。它支持通过 Let's Encrypt 自动获取SSL证书，确保钓鱼网站的安全性和可信度。此外，CredSniper 提供了丰富的API接口，方便与其他应用程序集成，实时获取捕获的凭证信息。

项目及技术应用场景

CredSniper 主要应用于以下场景：

1. 安全测试：安全专家可以使用 CredSniper 模拟真实的钓鱼攻击，测试企业内部的安全防御机制，识别潜在的安全漏洞。
2. 渗透测试：渗透测试人员可以通过 CredSniper 捕获目标用户的凭证信息，评估系统的安全性。
3. 安全培训：安全培训机构可以使用 CredSniper 模拟钓鱼攻击，帮助员工提高对钓鱼攻击的识别能力。

项目特点

• 全SSL支持：通过 Let's Encrypt 自动获取SSL证书，确保钓鱼网站的安全性和可信度。
• 真实登录表单克隆：支持多种常见服务的登录表单克隆，如Gmail，提供高度逼真的钓鱼体验。
• 多页面支持：可以模拟多个中间页面，如登录页、密码页和双因素认证页，增加钓鱼攻击的真实性。
• 2FA令牌捕获：支持捕获双因素认证令牌，全面模拟现代钓鱼攻击。
• API集成：提供安全的API接口，方便与其他应用程序集成，实时获取捕获的凭证信息。
• 易于个性化：使用模板框架，方便用户根据需求自定义钓鱼页面。

使用示例

以下是使用 CredSniper 模拟Gmail钓鱼的示例：

$ git clone https://github.com/ustayready/CredSniper
$ cd CredSniper
~/CredSniper$ ./install.sh
~/CredSniper$ source bin/activate
(CredSniper) ~/CredSniper$ python credsniper.py --module gmail --twofactor --ssl --final https://google.com --hostname phishing.example.com

安装指南

在 Ubuntu 16.04 系统上，可以通过以下命令自动安装和运行 CredSniper：

$ git clone https://github.com/ustayready/CredSniper
$ cd CredSniper
~/CredSniper$ ./install.sh

然后，手动运行 CredSniper：

~/$ cd CredSniper
~/CredSniper$ source bin/activate
(CredSniper) ~/CredSniper$ python credsniper.py --help

维护者

CredSniper 由 Mike Felch 创建，他在信息安全领域有着丰富的经验。

贡献指南

欢迎社区成员贡献代码和提出改进建议。您可以通过以下步骤参与项目：

1. 创建一个Issue，讨论您的想法。
2. Fork 项目仓库。
3. 创建新的功能分支。
4. 提交您的更改。
5. 推送分支到您的仓库。
6. 创建一个新的Pull Request。

Bug报告、功能请求和补丁都非常欢迎！

---

通过以上介绍，相信您已经对 CredSniper 有了全面的了解。如果您是一名安全测试人员或渗透测试专家，CredSniper 将是您不可或缺的工具。立即尝试，提升您的安全测试能力！