2023年flash水坑攻击源码

最新推荐文章于 2023-08-07 17:00:04 发布
最新推荐文章于 2023-08-07 17:00:04 发布
阅读量2.8k 收藏 7
点赞数 2
分类专栏: 工具 文章标签: 乌鸦安全 渗透测试 flash 钓鱼 水坑攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/128800965
版权

1. 背景

有授权的攻防演练中,很多时候都会用到水坑攻击或者钓鱼,目前flash钓鱼一直都在做,以前的版本中,提示flash版本过低是这样的:

下载界面是这样的(下图来源于互联网):

但是目前2023年flash下载界面已经更新了,所以要用新的:

2. 2023-新版flash钓鱼

在t00ls等平台上,很多师傅都已经发过新版flash页面了,在这里我打包了最新的页面:

可以在公众号后台回复关键字:flash 下载

也可以直接在github上下载: GitHub - crow821/crowsec: 视频课件和工具分享

在这里我准备好了新的flash界面,有两个文件夹:

  • fake_user:做水坑用的

  • fake_flash_domain:提供下载捆绑木马的

2.1 fake_user

该文件一共包含两个,来源于GitHub - chroblert/Flash-Pop2: Flash-Pop升级版

在这里需要手动进行配置: index.html是要插入对方需要访问的网页中,进行水坑攻击的,其中<script src='./flash.js'></script>是关键,在这需要配置你的文件。

flash.js文件中,需要在引入的js中加入https,在文件尾部写上你的引用要下载木马的地址:

当插入到页面之后,首先就是提示flash版本过低:

当点击立即升级的时候会跳转到你的指定页面:

2.2 fake_flash_domain

在这里只需要进行一个配置index.html

然后全文将两处立即下载的地址替换掉:

此时,点击页面即可下载你的exe文件:

3. 总结

本文只是对flash的钓鱼页面进行了更新,没有考虑诸如管理员下载安装之后,自动收杆的操作,也没有考虑免杀等操作,思路其实是很开阔的。

非授权,不渗透,请遵守法律法规!

乌鸦安全
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
刺刺:水坑攻击网络钓鱼攻击自动部署
03-04
是一个自动化部署水坑和网页钓鱼的项目。 想要了解更多可以阅读: 用法 使用本项目需要拥有一个域名,将A记录指向到当前服务器,否则只能通过IP访问。 $ git clone https://github.com/Rvn0xsy/Pricking $ cd ...
Flash水坑钓鱼
god_Zeo的安全博客
02-06 5772
Flash水坑钓鱼起因准备先配置一个马子吧自解压捆绑文件的利用上传到服务器常见用法 起因 在网络上看到许多大佬都拿这个钓鱼,而且感觉成功率贼高。 未雨绸缪,先测试一下,以后肯定用的到 准备 flash官网的钓鱼源码:https://github.com/r00tSe7en/Fake-flash.cn 一个服务器 一个域名 一个马子 先配置一个马子吧 使用常用的CS吧,随便来一个,成功上线 关于...
什么是水坑攻击
布袋和尚
02-13 2855
水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击
ATT&ck 入口点 —— 水坑攻击
战神/calmness的博客
02-11 2586
目录 水坑攻击 盗取Cookie phpstudy backdoor JSONP Adobe flash player 28(CVE-2018-4878) Beef 攻击框架 水坑攻击 分析并了解目标的上网活动规律,寻找目标经常访问的网站的漏洞,利用 漏洞在该网站植入恶意代码(陷阱、水坑),在目标进行访问时,攻击形 成。 多种可能被植入的代码,包括: 1. 通过注入某些形式的恶意代码。例如:JavaScript、iframe、跨站脚本 等 2. 植入恶意的广告链接 3. 内置的 .
红队钓鱼技术之Flash网页钓鱼
最新发布
xf555er的博客
08-07 425
Flash钓鱼攻击是一种网络攻击手段,旨在欺骗用户访问伪造的Flash更新页面,并诱使他们下载并安装恶意软件。这种攻击通常利用用户对Flash更新的需求,以及对合法更新网站的信任。攻击者通常会模仿Adobe Flash Player的官方更新页面,以提高诱骗成功率。
网络攻防|XSS Flash弹窗钓鱼
weixin_42282189的博客
11-15 2726
作者: Overture 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 xss弹出flash更新是一种常见的钓鱼手法,本文介绍一下整体思路和部分技术细节。 注意:任何未经授权的渗透都是违法行为,本文仅用于技术讨论,切勿用于违法途径 前期准备 服务器及域名 flash页面 免杀木马 前提条件:目标网站存在存储型xss漏洞或者已经getshell能够修改源码,通过请求你插入的js代码触发flash升级弹窗,跳转到准备好的flash下载界面下载安装,触发木马上线cs.
几种诱骗攻击手段(鱼叉、水坑、诱骗)
07-06
几种诱骗攻击手段(鱼叉、水坑、诱骗)说明
水坑攻击网络钓鱼攻击自动部署。-JavaScript开发
05-26
红队技巧:基于反向代理的水坑攻击 Pricking 项目(一) :使用介绍 Pricking 项目(二) :JS模块开发 Usage 使用本项目需要拥有一个域名,将A记录指向到当前服务器,否则只能通过IP访问。 $ git clone ...
360企业安全报告,APT攻击报告
11-15
2. **攻击手段与技术**:APT攻击通常使用多种技术组合,包括零日漏洞利用、社会工程学、水坑攻击、鱼叉式钓鱼邮件等。这些手段使得攻击者能够绕过传统的防御系统,进入目标网络。 3. **攻击流程**:APT攻击通常分为...
APT攻击案例分享
11-15
APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失。
Flash-PopFlash钓鱼弹窗优化版
02-03
Flash-PopFlash钓鱼弹窗优化版
flash-player-master
04-14
视频播放插件,可以直接在web上播放视频流;包含h5和flash的播放方式,根据自己需要调用相应的方法
Fake-flash.cn:flash.cn钓鱼页(中文+英文)
02-03
Fake-flash.cn:flash.cn钓鱼页(中文+英文)
XSS 实战攻击思路总结,看过的人都收藏了
hackzkaq的博客
11-13 1821
作者:先知社区-国光 原文:https://xz.aliyun.com/t/8459 前言 前几天看到 B 站某up 主投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气...... 实际上这就是一个中规中矩的 XSS 漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。 鉴别网站 下面是一个经典的 QQ 空间钓鱼网站: 域名分析 钓鱼网...
Flash钓鱼
热门推荐
weixin_45794666的博客
02-22 2万+
Flash钓鱼 首先将写好的flash.js放在自己的服务器上 var s1 = document.createElement('script'); s1.setAttribute('type','text/javascript'); s1.setAttribute('src','//cdn.bootcdn.net/ajax/libs/jquery/2.0.0/jquery.min.js'); var head = document.getElementsByTagName('head')[0]; head
涨见识了!定制化的渗透测试 - 水坑攻击之偷窥小姐姐的...
MachineGunJoe666
06-17 692
前言 有些授权测试中,允许红队人员用社会工程学之类的方法进行渗透。钓鱼水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备,水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。ps:本文未涉及任何真实案例。 水坑简述 布置水坑的目的通常为两种:一是暂未获取到目标任何账号凭据和权限,需要利用水坑获取目标的账号凭据或初步建立渗透的据点。二是已经获取基础凭据和权限,但未完全接管系统,借助水坑进行横向或针对关键人员进行渗透。相比之下,前者适合进行“广撒网”,后者则更适合定制化
【Web安全社工篇】——水坑攻击
Demo不是emo的博客
03-01 4421
社工篇之水坑钓鱼案例
xxs-flash-钓鱼
qq_38618396的博客
12-27 741
0x00 准备 1、源码:https://github.com/r00tSe7en/Fake-flash.cn 2、域名:一个和flash相近的域名和一台服务器 3、木马:cobalstrike生成木马 4、其他:flash安装包 0x01 实际操作 搭建环境 第一步:下载源代码,直接在使用phpstudy搭建一个网站: 第二步:启动cs,制作木马 使用cs生成一个木马 第三步:下载flash安装程序 在这里插入图片描述 ...
什么是网络钓鱼?什么是鱼叉式钓鱼水坑攻击?
05-13
水坑攻击则是一种通过创建虚假的登录页面或者下载链接等方式,欺骗用户输入敏感信息,从而达到非法获取用户账号或财产的行为。攻击者会在一个常用的网站上注入恶意代码,当用户访问该网站时,恶意代码会自动加载并将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值