xssFlash攻击钓鱼

xssFlash攻击

1) 概要

通过插入xss语句使用户跳转到设置好的钓鱼页面，下载flash组件，反弹木马。实现钓鱼攻击

2) 要求

• 准备msf生成木马

• flash安装包

• flash官网源码

• 有一台服务器和域名（域名尽量选的逼真一点）

  此次实验在本地环境完成的

  首先我们生成一个木马

blockchain

再去github下载flash源码

https://github.com/r00tSe7en/Fake-flash.cn

在本地搭建好环境，访问下载好的flash源码

blockchain

再去flash官网下载一个安装包

1、此时将两个文件一起压缩

blockchain

2、更改文件名

blockchain

点击高级自解压选项，常规

3、解压路径->绝对路径

C:windowstemp。

blockchain

4、设置

提取后运行

C:windowstempflash.exe

C:windowstempflashplayer_install_cn.exe

5、模式

安静模式->全部隐藏

6、更新

更新方式->解压并更新文件

覆盖方式->覆盖所有文件

生成好文件，我们改下图标，让它逼真一点

blockchain

blockchain

制作完成

blockchain

此时我们修改下页面

把两个HTML页面修改完成.

blockchain

打开靶机试验一下

插入语句

blockchain

成功弹出

blockchain

跳转成功

blockchain

下载到本地

此时msf开启监听状态

blockchain

打开文件，弹出安装程序

blockchain

此时msf接收到shell

blockchain