看到很多关于flash钓鱼的帖子，跟着大佬们学习了一波，这两天自己也在研究这个，发个帖子说说自己的心得。
首先，现在flash最新版的页面已经变成下图样子了，下载文件的图标也变成了蓝色，相比原来死气沉沉的暗红色显得更大气(?)了一点。

首先分享一波源码的爬取工具，我用的是kali下的httrack，亲测十分方便好用！

话不多说直接上图，克隆得还是比较全面，简直和真的一模一样。在index.html里面改源码即可。

钓鱼环境配置好后，需要准备好：
免杀马（菜鸡使用的veil+加壳进行简单免杀，就不在这里细谈了）
2.flash官网下载的安装文件
3.捆绑正常flash安装文件的木马

图中flash.exe为制作好的木马（我这里用的是cs生成veil的shellcode，然后在kali的veil里用使用go进行的简单处理）。

接下来进行捆绑操作，这里使用winrar。
首先选中两个文件进行压缩，勾选创建自解压文件。

“高级”->“自解压选项”，根据图片修改内容即可

接下来确定后保存即可。
修改图标的话我使用的是resourcehacker，修改完图标后再改个名。嘿嘿，直接一波以假乱真。（除了大小不一样，但3MB一般来说属于正常大小，不至于引起怀疑）

对方双击即可cs上线，并会正常运行安装程序。
接下来把马放到服务器上，诱骗对方下载安装即可。
关于如何诱骗对方安装，就看各位大佬的神通了。

此处我使用的xss跳转诱骗，就不放真实网站了，用环境做个简单原理的演示。
xss代码相对较长，故此处使用xss平台新建一个模块，

为方便直接使用dvwa存储型xss演示。

大佬们把这个假装想象（强行）成管理员后台即可。管理员没事逛逛后台的时候，让更新flash，弹窗关闭后就跳转到我们的“flash”页面。下载点击后也会正常安装，但同样的，咱们这也上线了，接下来该干嘛就任凭大佬们发挥了