项目介绍
在数字化浪潮席卷全球的今天,钓鱼攻击已成为企业网络安全面临的首要威胁。仿冒网页、恶意邮件等攻击手段层出不穷,一次成功的钓鱼可能导致核心数据泄露、系统瘫痪甚至巨额财产损失。然而,传统的安全意识培训往往停留在理论说教层面,难以让员工真切感受攻击的隐蔽性和危害性。
ApolloFish(阿波罗钓鱼演练平台)正是为解决这一痛点而生的开源利器。由国内安全团队safe1024开发并托管于GitHub(safe1024/apollofish),该平台以”实战演练赋能安全意识提升”为核心目标,通过零依赖、跨平台的设计理念,为企业提供从场景配置、演练发起、过程监控到报告生成的全流程钓鱼模拟能力。与国外同类工具相比,ApolloFish更贴合国内企业需求,支持国产信创系统,部署简单到只需下载一个可执行文件即可运行。
项目自发布以来,凭借其极简的部署方式和强大的实战模拟能力,在红队演练和安全培训场景中迅速获得关注。它不仅支持网页钓鱼和邮件钓鱼两大核心场景,更通过灵活的数据追踪机制,帮助企业精准定位员工的安全防护短板,为构建全员参与的安全防线提供数据支撑。
核心功能
1. 双模钓鱼引擎:网页+邮件全覆盖
ApolloFish集成了网页钓鱼与邮件钓鱼两大核心引擎。网页钓鱼模块允许管理员快速克隆或自定义登录页面,通过部署可访问的站点实时捕获用户输入的敏感信息。邮件钓鱼则支持完整的SMTP配置、附件模板绑定和批量发送,真实模拟APT组织的鱼叉式网络钓鱼攻击。所有交互数据均以JSON格式结构化存储,便于后续分析。
2. 零依赖跨平台部署
这是ApolloFish最具颠覆性的设计。无需Docker、无需安装任何运行时环境,平台以单一可执行文件形式发布,支持Windows(Intel/AMD/ARM)、macOS(Intel/M系列芯片)、Linux及国产信创系统(鲲鹏、海光等)。这种设计极大降低了技术门槛,使非专业背景的安全管理员也能独立完成部署,将传统需要数小时的配置过程压缩至秒级启动。
3. 可视化模板工坊
平台内置了常见的钓鱼场景模板,覆盖社交、电商、办公协作等领域。更关键的是,创建自定义模板极其简单:只需在HTML提交按钮中添加onclick="login()"属性,ApolloFish即可自动识别页面所有input组件并记录数据。这种”零侵入式”设计让模板制作变得像编辑普通网页一样自由,name属性可自定义,input数量可多可少,拓展性极强。
4. 全流程数据追踪
从邮件发达到链接点击、数据提交,ApolloFish记录完整的用户行为链条。后台提供”上钩记录”大屏,可实时查看受害者输入的详细信息(以JSON格式展示),包括时间戳、IP地址、User-Agent等。这种精细化追踪让安全团队能够绘制出员工的风险画像,识别高危部门和薄弱环节。
5. 安全与合规内置
项目首页明确声明仅限授权范围内的安全防护演练使用,并内置防溯源机制。首次运行会自动生成随机后台路径、端口和强密码,存储于config.yaml配置文件中,避免使用默认凭证带来的安全风险。同时支持HTTPS证书配置,确保数据传输加密。
使用方法
部署ApolloFish是”下载即运行”的极简体验:
第一步:获取二进制文件 根据操作系统和CPU架构,从Releases页面下载对应版本: -Windows Intel/AMD → ApolloFish_windows_amd64.exe -macOS M系列芯片 → ApolloFish_mac_arm -Linux国产信创 → ApolloFish_linux_arm(鲲鹏)
第二步:启动服务
# Linux/macOS chmod +x ApolloFish_linux_amd64 ./ApolloFish_linux_amd64 # Windows直接双击运行 ApolloFish_windows_amd64.exe
第三步:获取访问凭证 首次运行会在同目录生成config.yaml,包含随机生成的后台路径、端口、用户名和密码:
panel: path: 76cd36b08d6a11c2237f7be87075ce43 # 随机后台路径 port: 3333 username: 9bqz38hz password: ky9je64t
第四步:配置演练场景
- 1. 网页钓鱼:在”网页模板”中上传或创建HTML文件→在”网页钓鱼”中部署为可访问站点→配置域名/端口
- 2. 邮件钓鱼:在”邮箱模板”中编辑邮件内容→配置SMTP服务器→导入目标邮箱列表→发起发送任务
所有配置均可通过Web界面完成,无需手动修改配置文件。
代码演示
自定义网页模板示例
制作一个钓鱼页面只需在提交按钮添加一行JS调用:
<!DOCTYPE html> <html> <head> <title>企业邮箱升级</title> </head> <body> <div class="login-container"> <h2>紧急:您的邮箱需要验证</h2> <!-- 模板自动捕获所有带name属性的input --> <input type="text" name="username" placeholder="工号"> <input type="password" name="password" placeholder="密码"> <input type="email" name="email" placeholder="备用邮箱"> <!-- 关键:添加onclick="login()"触发数据捕获 --> <button type="button" onclick="login()">立即验证</button> </div> </body> </html>
查看捕获数据
受害者提交后,后台”上钩记录”显示:
{
"record_id": "rec_20240115_001",
"timestamp": "2024-01-15T09:30:00Z",
"ip": "192.168.1.100",
"user_agent": "Mozilla/5.0...",
"input_data": {
"username": "zhangsan",
"password": "P@ssw0rd123",
"email": "zhangsan@company.com"
}
}优势对比
| 特性 | ApolloFish | Gophish | Phishing Frenzy |
| 部署方式 | 单二进制文件,零依赖 | 需Docker/MySQL | 需Ruby/Rails环境 |
| 跨平台支持 | Win/macOS/Linux/信创 | 主要支持Linux | 仅Linux |
| 模板创建 | HTML+onclick="login()" | 需学习模板语法 | 复杂模板引擎 |
| 邮件钓鱼 | 内置SMTP管理 | 功能完善 | 功能较弱 |
| 学习曲线 | 极低,10分钟上手 | 中等 | 陡峭 |
| 中文支持 | 原生中文界面 | 英文为主 | 英文为主 |
| 信创适配 | 支持鲲鹏、海光等 | 不支持 | 不支持 |
核心优势总结:
- 1. 易用性:将部署时间从小时级降至秒级,尤其适合资源有限的中小企业
- 2. 灵活性:模板系统对前端开发者极度友好,无需学习新语法
- 3. 本土化:深度适配国产操作系统和硬件,响应速度快
- 4. 安全性:随机化后台路径和强密码策略,降低被反制的风险
总结
ApolloFish代表了新一代安全演练工具的设计哲学——让复杂技术简单化。它通过极致的部署体验和灵活的模板机制,填补了国内开源钓鱼演练平台的空白。对于希望定期开展员工意识培训的企业,ApolloFish提供了”开箱即用”的解决方案;对于红队人员,它是快速构建钓鱼基础设施的利器。
当然,作为一款新兴工具,ApolloFish在邮件追踪深度和报告定制化方面仍有提升空间(如下版本将发布的”AI生成克隆”功能)。但其活跃的社区和清晰的路线图表明,它正朝着更智能、更强大的方向演进。
关键提醒:务必在自有授权环境中使用此工具,严格遵守《网络安全法》及相关法规。钓鱼演练的目的是提升防御能力,而非攻击。建议在演练前充分告知员工并制定应急响应预案,将技术工具与管理制度结合,才能真正筑牢网络安全的第一道防线。
项目地址:https://github.com/safe1024/apollofish
项目代码下载地址
会员专享高速下载链接
虚拟资源,购买后不可退。
会员无限制下载,如需升级会员请访问 https://k.youshop10.com/lxQ1pVvU 购买激活码,购买后在本站个人中心点击【升级VIP】后,使用激活码升级会员即可。
如有疑问,可以添加阁主微信:Yunloved1986
评论0