1. 背景
在有授权的攻防演练中,很多时候都会用到水坑攻击或者钓鱼,目前flash钓鱼一直都在做,以前的版本中,提示flash版本过低是这样的:
下载界面是这样的(下图来源于互联网):
但是目前2023年flash下载界面已经更新了,所以要用新的:
2. 2023-新版flash钓鱼
在t00ls等平台上,很多师傅都已经发过新版flash页面了,在这里我打包了最新的页面:
可以在公众号后台回复关键字:flash 下载
也可以直接在github上下载: GitHub - crow821/crowsec: 视频课件和工具分享
在这里我准备好了新的flash界面,有两个文件夹:
-
fake_user:做水坑用的 -
fake_flash_domain:提供下载捆绑木马的
2.1 fake_user
该文件一共包含两个,来源于GitHub - chroblert/Flash-Pop2: Flash-Pop升级版
在这里需要手动进行配置: index.html是要插入对方需要访问的网页中,进行水坑攻击的,其中<script src='./flash.js'></script>是关键,在这需要配置你的文件。
而flash.js文件中,需要在引入的js中加入https,在文件尾部写上你的引用要下载木马的地址:
当插入到页面之后,首先就是提示flash版本过低:
当点击立即升级的时候会跳转到你的指定页面:
2.2 fake_flash_domain
在这里只需要进行一个配置index.html
然后全文将两处立即下载的地址替换掉:
此时,点击页面即可下载你的exe文件:
3. 总结
本文只是对flash的钓鱼页面进行了更新,没有考虑诸如管理员下载安装之后,自动收杆的操作,也没有考虑免杀等操作,思路其实是很开阔的。
非授权,不渗透,请遵守法律法规!
