Adobe Flash Player社工钓鱼

文章预览

文章前言 本篇文章主要介绍如何通过利用Adobe Flash Player的漏洞进行社工钓鱼，该漏洞目前已被修复，在实战中利用已不太奏效，仅作为学习 钓鱼实践 影响范围 Adobe Flash Player < =28.0.0.137 漏洞简介 2018年2月1号，Adobe官方发布安全通报(APSA18-01)，声明Adobe Flash 28.0.0.137及其之前的版本，存在高危漏洞，攻击者可以通过构造特殊的Flash链接，之后诱导用户用浏览器/邮件/Office访问此Flash链接，从而实现"远程代码执行"，并且直接被Getshell，该漏洞于2017年底由韩国计算机应急小组(KR-CERT)首次发现 演示环境 攻击主机：Kali Linux 目标主机：Windows 7 sp1 漏洞载荷：CVE-2018-4878.py flash版本：flashplayer_activex_28.0.0.137.exe 钓鱼演示 Step 1：下载漏洞利用脚本 wget https: / /raw.githubusercontent.com/backlion /demo/master /CVE-2018-4878.rar Step 2：修改载荷，将代码中的stageless变量改成"stageless = False ………………………………