文章预览
文章前言 本篇文章主要介绍如何通过利用Adobe Flash Player的漏洞进行社工钓鱼,该漏洞目前已被修复,在实战中利用已不太奏效,仅作为学习 钓鱼实践 影响范围 Adobe Flash Player < =28.0.0.137 漏洞简介 2018年2月1号,Adobe官方发布安全通报(APSA18-01),声明Adobe Flash 28.0.0.137及其之前的版本,存在高危漏洞,攻击者可以通过构造特殊的Flash链接,之后诱导用户用浏览器/邮件/Office访问此Flash链接,从而实现"远程代码执行",并且直接被Getshell,该漏洞于2017年底由韩国计算机应急小组(KR-CERT)首次发现 演示环境 攻击主机:Kali Linux 目标主机:Windows 7 sp1 漏洞载荷:CVE-2018-4878.py flash版本:flashplayer_activex_28.0.0.137.exe 钓鱼演示 Step 1:下载漏洞利用脚本 wget https: / /raw.githubusercontent.com/backlion /demo/master /CVE-2018-4878.rar Step 2:修改载荷,将代码中的stageless变量改成"stageless = False
………………………………