【XSS专题】利用XSS攻击漏洞配合Flash钓鱼上线目标主机(上篇:准备阶段)
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
攻击者利用存储型XSS漏洞制作钓鱼Flash插件,诱导目标主机管理员下载恶意程序,成功安装后可获取目标主机Shell。
🎯
关键要点
- 攻击者利用存储型XSS漏洞制作钓鱼Flash插件。
- 目标主机管理员下载恶意程序后可获取Shell。
- 攻击机器为192.168.5.141,目标主机为192.168.5.146。
- 构造Flash插件下载钓鱼载荷并启用WEB服务。
- 管理员访问载荷后会弹出Flash版本过低的提示。
- 点击确定后自动下载恶意安装程序。
- 准备远控免杀并获取钓鱼套件普通版。
- 使用Winrar压缩捆绑免杀程序和Flash安装程序。
- 解压路径设置为目标主机的Temp路径和自启动项。
- 确保压缩文件名与正常Flash安装程序不同以避免报错。
➡️
