XSS 之 FLASH 钓鱼 CS 上线集

Mr.Wu 141 2

引言

本来不打算写这篇文章的,因为网上这类文章实在太多太多,奈何总有童鞋问,即使说了百度搜索,童鞋还是表示一脸懵逼,于是写下了本文。

准备工作

  1.  CS 安装配置完毕,这个我真不想写了,网上这类文章实在太多了,我也是最近几天才接触的 CS ,在安装配置过程中我遇到了 2 个小问题,也特意在博客中写了记录文,别的我也是照着网上的方式操作的,真的很简单。(CS 最好做到免杀,免杀方式网上也有很多,实在不懂可以用 CS 一键免杀
  2. 一个外网能正常访问的域名,域名最好和flash相关,伪造官网,所以域名越像越好,这里我只是为了写文章,就懒得去搞域名了,就用我平台的域名就行了。
  3. 搭建并且改写好自己的 flash 钓鱼页面

钓鱼页搭建

CS 我已经弄好了,接下来就是配置我们的 flash 钓鱼页面了,钓鱼页面可以前往 github  下载,现成的,只需要简单改一改就完事了。

多余的文件我给删了,接下来弄一个压缩包,这里由于我是为了演示,因此并没有去弄免杀,为了避免直接下载 EXE 文件被报毒的问题,我们仿照那些下载站的套路,弄成压缩包,然后在里面加个无毒误报的说明就行了,如果你是免杀马,就没必要弄压缩包了,毕竟官方也不是;

这里顺便借到请教懂的大佬一个问题,压缩包自解压种马,以前是可以的,现在好像不可以了,是因为 winrar 修复了,还是我操作不对?

接着需要改一改 index.html 这个主页中的代码:

将 41 行 下载地址改成你的马儿地址或者压缩包马儿地址

之后浏览测试了下钓鱼页面,发现有个404的错误加载导致网页图标不是立刻显示,要转半天,为了避免怀疑,我在我的网站上对应他路径加上了那个文件,看样子是因为调用了某个官方的 JS 导致的加载。

XSS 项目配置

这里需要勾选默认模块,用默认模块( 这种情况没必要用超级默认 )才能知道我们的 XSS 是否被触发,如果收到 XSS 通知 CS 却没有上线 那就说明是没上当;

接下来就是构造 XSS ,等待目标触发上线了,这里我就随便在我博客找个页面插入 XSS ,然后本地虚拟机演示:

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. deepwebhacker
    deepwebhacker Lv 1

    大佬,你的xss平台能共享下吗?我是之前那个csrf你站的哥们

分享
微信
微博
QQ