对企业的钓鱼攻击天天都在发生。一些钓鱼牵涉到电子邮件和网站，一些通过手机APP或者社会媒体平台，还有一些可能使用短信，甚至是电话。利用不同的方法，这篇文章主要是探讨钓鱼攻击多点基础设施的快速构建，这对于日常的红蓝对抗中，基础设施起的比别人快那么你的机会也会比别人更快更多。暂时地部署基础设施可能还会遇到各种各样的问题，不一定所有的问题都可以解决，因此请看本文的内容。本文不再重复介绍钓鱼的基本概念和常用的攻击手段。就给大家开拓一下思路吧，可能有些点大家都没接触过。

传统钓鱼攻击手法

VPS基础设施部署。注意，一键可选择lnmp脚本！记住！记住！做好高强度加固防止被打！

钓鱼文件制作，可基于蓝方政企的历史泄漏，如百度云上泄露的部分文档或官网上的部分文档，从中提炼出符合对方政企要求的文档格式。或者根据企业查账中的一些负面信息来写些文章。不同的方法取决于大家的经验。

Ditto是一款小型工具，它接受域名作为输入，并生成它所有的结果作为针对同形异词攻击的输出，并检查哪些可用，哪些已经注册。简而言之，你可以用你想要的蓝方域名去钓鱼，然后用它快速生成高相似度的钓鱼域名去注册，然后通过伪装来欺骗那些蓝方公司安全意识不强的员工，从而达到你的钓鱼目的。

网址：https://github.com/evilsocket/ditto

网站Copy。站点副本，也称为站点备份。就是用工具保存网页上所有的内容。毫无疑问，不仅是简单地保存一个html页面，还保存网页源代码中所有的css、js和静态文件，以便也能在本地浏览整个站点。

如果前端源码能快速获得捕鱼点，并将其修改转换为PHP或JAVA修改前端的请求参数，并通过method入口向后端写入api接口以接收前端的传参，那么，再加上获取请求方的IP和UA，就很容易进一步利用了。普通钓鱼点如OA、邮服、管理平台等，都可以提前准备市面上常见的OA、邮服、管理平台等钓鱼点的改版储备。有一些同样出色的仿站gadget，比如https://smalltool.github.io/，它是一个非常高效的快速拉钓鱼点源码工具，也可以通过Linux下的wgetcapital来使用。

网址：https://github.com/Threezh1/SiteCopy.git。脚本来的作用主要是接收表单中输入的账号密码，收到的参数都可以根据自己的需要添加，脚本来写的粗糙，请各位兄弟们自行改进另外，也可以将自己的JS探针直接查到钓鱼页上，顺手收集目标机器的信息，实际收集时尽量用最少的动作收集尽可能多的信息。

网址：https://github.com/fuzz-security/PhishingLogin.git

formphish

自动网站，基于钓鱼表单。这个工具可以自动检测网站上基于html表格的输入，从而创建钓鱼网页。