【XSS专题】利用XSS攻击漏洞配合Flash钓鱼上线目标主机(下篇:攻击阶段)
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
攻击者利用存储型XSS漏洞,制作恶意Flash插件并植入目标网站后台,管理员访问后下载恶意程序,最终获取目标主机Shell。
🎯
关键要点
- 攻击者利用存储型XSS漏洞制作恶意Flash插件。
- 恶意程序被植入目标网站后台,管理员访问后下载。
- 攻击机IP为192.168.5.141,目标主机IP为192.168.5.146。
- 攻击者通过构造Flash插件下载钓鱼载荷来实施攻击。
- 管理员访问载荷后会触发Flash版本过低的提示。
- 点击提示后,页面自动下载恶意Flash安装程序。
- 目标主机管理员安装程序后,攻击机获取Shell权限。
- 攻击者使用Burpsuite工具插入XSS弹窗脚本进行攻击。
- 目标靶机管理员登录后台查看留言本时触发漏洞。
➡️
