记一次完整的钓鱼(Flash钓鱼),(免杀),(文件捆绑),(xss漏洞)

发布于 2020-11-09  348 次阅读


有两种方法跳转下载我们的马子

 

第一种

先配置Flash弹框js

项目地址:https://github.com/r00tSe7en/Flash-Pop

加载后长这样  点击立即升级直接下载马子

 

 

还有一种点击立即升级跳转到我们伪造的Flash官网进行下载比较麻烦 我这里就用第2种

首先需要注册一个比较跟官网域名相似的域名类似于

官网:https://www.flash.cn/

仿:https://www.flash.cc/,https://www.flasn.cn/......

然后就是官网的源码可以网上去找 也可以自己扒

 

 

好了网站配置好后我们来配置马子

生成一个payload 我这里用python做免杀所以生成一个python的payload

 

 

我这里是采用

Python内存加载shellcode 来达到免杀效果

 

 

然后使用pyinstaller 来打包我们的py文件 变成可执行文件

pyinstaller的安装可参考百度

打包python 为exe 不显示cmd 窗口

python pyinstaller.py -F -w test4.py

 

打包成功后会生成在当前目录的dist文件夹里面

 

 

下面我们来测试下免杀效果

 

 

运行查看是否成功上线

 

成功上线

 

 

 

下面我们

利用Winrar自解压捆绑文件

  1. 准备好的木马和flash安装程序
  2. 将这2个文件同时选择,然后右击,添加到压缩文件,选择创建自解压文件。

点击创建自解压格式压缩文件

 

 

第三步:高级,自解压选项,设置解压后文件的存储路径设置解压路径为C:\User(意思就是当用户点击了以后,文件会直接在c:\user生成)

 

 

 

第四步:点击设置,解压后运行的程序。

第五步:选择模式为全部隐藏。

第六步:选择更新,更新方式设置为解压并更新文件,覆盖方式选择覆盖所有文件。

 

最后点击确定,即可生成一个.exe的文件,为了更好的伪装自己,我们可以在该软件的基础上修改其头像,让它更具有迷惑性。

 

下面我们来修改图标需要用到ResourceHacker 

通过ResourceHacker打开原版的flash安装程序,点击图标文件夹中的文件,鼠标右键保存“*.ico资源”,即可导出ico图标。

 

 

同样的方法----ResourceHacker打开刚刚打包好的文件,点击图标文件夹中的文件,鼠标右键替换ico图标,最后保存

成品

 

 

下面实战

找一个存储型或者反射型xss 我这里用的是反射型xss 只要对方点击了我发生的url就会弹框 

 


侠之大者,为国为民,侠之小者,为友为邻