2026-01-23 12:50:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CamPhish是一款基于社会工程学的渗透测试工具，通过伪装成视频会议页面诱导目标授权摄像头，利用PHP+Python+Ngrok搭建攻击链，捕获前后摄像头图像或短视频并回传至本地uploads目录，支持模板定制与参数调优，演示了完整部署流程与防御建议。 综合评分： 78 文章分类： 社会工程学,渗透测试,红队,安全工具,WEB安全

cover_image

摄像头钓鱼工具–CamPhish

原创

网安武器库网安武器库

网安武器库

2026年1月22日 19:23 湖南

更多干货点击蓝字关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·CTF利器 PCredz：在流量包中便捷抓取凭据哈希和密码

·CF-Hero：尝试发现受Cloudflare CDN保护的网站真实IP

·Yakit：一款集成的强大黑客工具（抓包，中间人劫持，漏洞利用）

·在Kali上部署HexStrike Ai：让Ai用kali进行全自动渗透测试和CTF解题

·近期你还有这些CTF比赛可以参加

·针对 Oracle WebLogic 中间件的一体化渗透测试工具：WeblogicTool

介绍

CamPhish是一款基于社会工程学的渗透测试工具，通过精心构造的钓鱼页面诱导目标授予摄像头访问权限。该工具利用PHP搭建本地服务器环境处理媒体流数据，Python脚本实现核心控制逻辑，并借助Ngrok的内网穿透技术将本地服务暴露至公网。攻击链启动后，工具生成伪装成合法视频会议服务（如Google Meet）的钓鱼链接，当受害者访问时，前端JavaScript通过MediaDevices API发起摄像头访问请求，在用户授权后悄无声息地捕获前后摄像头拍摄的高清图像或视频片段。

捕获的媒体文件通过HTTPS协议传输至攻击者控制的服务器，存储在本地uploads目录中。攻击者可对模板页面进行深度定制，修改HTML/CSS增强伪装性，调整MediaRecorder API参数控制拍摄时长和画质，甚至注入额外恶意载荷。整个攻击过程充分利用了现代浏览器WebRTC技术的特性，结合社会工程学手段实现权限绕过，形成完整的攻击链闭环。防御此类攻击需强化用户安全意识培训，部署行为分析系统监测异常媒体访问请求，并实施严格的跨域资源访问策略

前期配置

确保kali系统已更新，输入

sudo&nbsp;apt update &&&nbsp;sudo&nbsp;apt upgrade -y

安装依赖

1.php:

sudo&nbsp;apt install php -y

2.python:

&nbsp;sudo&nbsp;apt install python&nbsp;#一般默认安装，确认一下版本即可&nbsp;python3 --version

3.Ngrok

wget https://bin.equinox.io/c/bNyj1mQVY4c/ngrok-v3-stable-linux-amd64.tgztar xvf ngrok-v3-stable-linux-amd64.tgzsudo&nbsp;mv&nbsp;ngrok /usr/local/bin/ngrok --version

进入ngrox官网，注册账号：

https://dashboard.ngrok.com/signup

按照图示进入Your Authtoken 并获取 Authtoken

终端输入：

ngrok config&nbsp;add-authtoken <你的Authtoken> &nbsp;# 替换< >内容，不带<>

也可以直接复制图示位置代码

CamPhish部署

克隆仓库：

git&nbsp;clone&nbsp;https://github.com/Mr-Spect3r/CamPhishcd&nbsp;CamPhish

首次运行配置

python3&nbsp;main.py

首次运行会提示输入Ngrok令牌，按提示输入你的Ngrok Authtoken即可

之后这里选择y可以自定义攻击界面

这里设置的是用前后摄像头拍几张照片，或者录制几秒钟的视频。

之后工具就会给你发送一个链接，发送给受害者就可以进行摄像头钓鱼了

实时查看捕获文件：

watch&nbsp;ls&nbsp;-R uploads/ &nbsp;# 监控文件变化

工具链接：

https://github.com/Mr-Spect3r/CamPhish

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库网安武器库网安武器库《摄像头钓鱼工具–CamPhish》