1. 背景

在有授权的攻防演练中很多时候都会用到水坑攻击或者钓鱼目前flash钓鱼一直都在做以前的版本中提示flash版本过低是这样的

下载界面是这样的下图来源于互联网

但是目前2023年flash下载界面已经更新了所以要用新的

2. 2023-新版flash钓鱼

在t00ls等平台上很多师傅都已经发过新版flash页面了在这里我打包了最新的页面

可以在公众号后台回复关键字flash 下载

也可以直接在github上下载 GitHub - crow821/crowsec: 视频课件和工具分享

在这里我准备好了新的flash界面有两个文件夹

• fake_user做水坑用的

• fake_flash_domain提供下载捆绑木马的

2.1 fake_user

该文件一共包含两个来源于GitHub - chroblert/Flash-Pop2: Flash-Pop升级版

在这里需要手动进行配置 index.html是要插入对方需要访问的网页中进行水坑攻击的其中<script src='./flash.js'></script>是关键在这需要配置你的文件。

而flash.js文件中需要在引入的js中加入https在文件尾部写上你的引用要下载木马的地址

当插入到页面之后首先就是提示flash版本过低

当点击立即升级的时候会跳转到你的指定页面

2.2 fake_flash_domain

在这里只需要进行一个配置index.html

然后全文将两处立即下载的地址替换掉

此时点击页面即可下载你的exe文件

3. 总结

本文只是对flash的钓鱼页面进行了更新没有考虑诸如管理员下载安装之后自动收杆的操作也没有考虑免杀等操作思路其实是很开阔的。

非授权不渗透请遵守法律法规