Aller au contenu

Gophish

Gophish est une solution de pen-testing centrée sur le phishing éthique. Il sert entre autres à effectuer des campagnes de phishing dans une entreprise par exemple en proposant d’entrer ses propres templates dans l’outil, tracker les ouvertures de mails, les rejets, et de pouvoir en sortir des statistiques pour mesurer l’effet de la campagne. 

Installation de Gophish

1.Pour commencer l’installation, il faut télécharger Gophish depuis Github 
git clone https://github.com/gophish/gophish
2. Installer ensuite Golang-go pour compiler l’installateur du serveur 
apt install golang-go
3. Se placer dans le dossier gophish puis compilez le avec go 
cd gophish
go build
4. Lancer le gophish 
./gophish
5. Une fois le service lancé, le serveur va nous donner les informations de connexion avec l’identifiant qui sera toujours admin et le mot de passe
Capture décran 2021 12 29 à 10.40.19
6. Se rendre sur 127.0.0.1:3333 pour aller sur la page d’administration, puis se connecter avec les IDs qui vous sont donné dans la console, une fois la première connexion réalisée il vous sera demandé de modifier ce mot de passe 
Capture décran 2021 12 29 à 10.43.31
7. Nous sommes arrivés sur le dashboard gophish, à partir de maintenant il faut passer à la configuration du serveur

Présentation de Gophish

1. Voici les menus de Gophish, par défaut tout est vide il faut le configurer pour que tout fonctionne correctement
Capture décran 2021 12 29 à 11.00.48
→ Le Dashboard est le panneau de contrôle du serveur
→ Dans Campaigns on retrouve nos campagnes de phishing
→ Dans Users & Groups on peut créer et éditer nos utilisateurs
→ Dans Email Templates on entre nos modèles de mails
→ Landing Pages comprends les pages de redirection
→ Dans Sending Profiles on configure les comptes d’envoi
→ Dans Account Settings on configure le compte Admin du serveur
→ User Management est pour gérer les utilisateurs du serveur
→ Webhook sert à configurer des notifications push du server
→ Ici se trouvent les documentations techniques pour administrer le serveur
Sur le dashboard il est possible de cliquer sur une campagne pour constater son efficacité, on peut voir le nombre de mails envoyés, ceux qui ont été ouverts, si le lien à été cliqué, si le formulaire à été rempli et enfin si les mails ont été marqués comme spam
Capture décran 2021 12 29 à 11.36.43
En dessous on voit le détail des ouvertures avec qui à vraiment cliqué
Capture décran 2021 12 29 à 11.43.35
Dans sending profiles on peut configurer son ou ses serveurs SMTP pour l’envoi de mails
Capture décran 2021 12 29 à 11.52.36

Création de la campagne :

Pour créer une campagne il nous faut un template, un compte Google ou chez un autre fournisseur de mails, un ou plusieurs utilisateurs à qui envoyer le mail et une page d’atterrissage.
1. Création du template de mail
Se rendre dans la section Email Templates et cliquer sur New Template Il est possible de faire un modèle en texte brut, ou bien en HTML, pour l’exemple je vais le faire en texte brut, puis je montrerais un exemple plus complexe
Capture décran 2021 12 29 à 12.02.10
2. Donner un nom et un sujet à son modèle, n’oubliez pas de cocher « Add tracking image »
Capture décran 2021 12 29 à 12.33.43
3. Écrire votre texte dans l’onglet HTML, puis cliquer sur le bouton Source pour voir la version HTML Pour que le modèle fonctionne, il faut sélectionner le texte ou vous comptez mettre votre lien, puis cliquer sur le bouton lien
Capture décran 2021 12 29 à 12.19.16
4. Une fois le bouton « lien » cliqué, il faut entrer le protocole (mettre <other>), et dans URL mettre {{.URL}} de façon à ce que le serveur le remplace automatiquement
Il est important de placer cette balise, c’est grâce à ceci qu’il est possible de tracker l’ouverture des mails
Astuce : Il est possible d’utiliser d’autres balises de façon à personnaliser vos envois selon l’utilisateurs qui va le recevoir, par exemple avec {{.Email}} , le mail de la victime sera automatiquement remplacé et avec {{.FirstName}} on aura le prénom de la personne. La limite est la créativité !
Capture décran 2021 12 29 à 12.22.38
5. Une fois le modèle de mail créé, il faut faire la page dite « d’atterrissage », c’est la page de redirection, il faut se rendre dans la section Landing Pages et cliquer sur le bouton New Page
Capture décran 2021 12 29 à 16.11.55
6. Nommer la page et importez un site, ou bien collez le code HTML dans la section, il est possible de capturer les formulaires, ou non, pour du pen-test on voudra décocher cette option car les informations sont transmises en clair sur le réseau
Capture d’écran 2021-12-29 à 16.00.49
Ici je clone la page de login de Google, puisque le but recherché n’est pas de récupérer efficacement les mots de passe Une fois la page configurée, il faut ajouter des utilisateurs et groupes pour pouvoir créer la campagne et la déployer
7. Aller dans la section Users & Groups et cliquer sur New Group
Capture décran 2021 12 29 à 16.11.31
8. Nommer le groupe en remplir les informations, il est possible d’importer un fichier CSV séparé par des ; pour aller plus vite
Capture d’écran 2021-12-29 à 16.02.13

Création et lancement de la campagne :