2023年flash水坑攻击源码

1. 背景

在有授权的攻防演练中，很多时候都会用到水坑攻击或者钓鱼，目前flash钓鱼一直都在做，以前的版本中，提示flash版本过低是这样的：

下载界面是这样的（下图来源于互联网）：

但是目前2023年flash下载界面已经更新了，所以要用新的：

2. 2023-新版flash钓鱼

在t00ls等平台上，很多师傅都已经发过新版flash页面了，在这里我打包了最新的页面：

可以在公众号后台回复关键字：flash 下载

也可以直接在github上下载： GitHub - crow821/crowsec: 视频课件和工具分享

在这里我准备好了新的flash界面，有两个文件夹：

• fake_user：做水坑用的

• fake_flash_domain：提供下载捆绑木马的

2.1 fake_user

该文件一共包含两个，来源于GitHub - chroblert/Flash-Pop2: Flash-Pop升级版

在这里需要手动进行配置： index.html是要插入对方需要访问的网页中，进行水坑攻击的，其中<script src='./flash.js'></script>是关键，在这需要配置你的文件。

而flash.js文件中，需要在引入的js中加入https，在文件尾部写上你的引用要下载木马的地址：

当插入到页面之后，首先就是提示flash版本过低：

当点击立即升级的时候会跳转到你的指定页面：

2.2 fake_flash_domain

在这里只需要进行一个配置index.html

然后全文将两处立即下载的地址替换掉：

此时，点击页面即可下载你的exe文件：

3. 总结

本文只是对flash的钓鱼页面进行了更新，没有考虑诸如管理员下载安装之后，自动收杆的操作，也没有考虑免杀等操作，思路其实是很开阔的。

非授权，不渗透，请遵守法律法规！