XSS 之 FLASH 钓鱼 CS 上线集

引言

本来不打算写这篇文章的，因为网上这类文章实在太多太多，奈何总有童鞋问，即使说了百度搜索，童鞋还是表示一脸懵逼，于是写下了本文。

准备工作

1.  CS 安装配置完毕，这个我真不想写了，网上这类文章实在太多了，我也是最近几天才接触的 CS ，在安装配置过程中我遇到了 2 个小问题，也特意在博客中写了记录文，别的我也是照着网上的方式操作的，真的很简单。（CS 最好做到免杀，免杀方式网上也有很多，实在不懂可以用 CS 一键免杀 ）
2. 一个外网能正常访问的域名，域名最好和flash相关，伪造官网，所以域名越像越好，这里我只是为了写文章，就懒得去搞域名了，就用我平台的域名就行了。
3. 搭建并且改写好自己的 flash 钓鱼页面

钓鱼页搭建

CS 我已经弄好了，接下来就是配置我们的 flash 钓鱼页面了，钓鱼页面可以前往 github  下载，现成的，只需要简单改一改就完事了。

多余的文件我给删了，接下来弄一个压缩包，这里由于我是为了演示，因此并没有去弄免杀，为了避免直接下载 EXE 文件被报毒的问题，我们仿照那些下载站的套路，弄成压缩包，然后在里面加个无毒误报的说明就行了，如果你是免杀马，就没必要弄压缩包了，毕竟官方也不是；

这里顺便借到请教懂的大佬一个问题，压缩包自解压种马，以前是可以的，现在好像不可以了，是因为 winrar 修复了，还是我操作不对？

接着需要改一改 index.html 这个主页中的代码：

将 41 行 下载地址改成你的马儿地址或者压缩包马儿地址

之后浏览测试了下钓鱼页面，发现有个404的错误加载导致网页图标不是立刻显示，要转半天，为了避免怀疑，我在我的网站上对应他路径加上了那个文件，看样子是因为调用了某个官方的 JS 导致的加载。

XSS 项目配置

这里需要勾选默认模块，用默认模块（ 这种情况没必要用超级默认 ）才能知道我们的 XSS 是否被触发，如果收到 XSS 通知 CS 却没有上线 那就说明是没上当；

接下来就是构造 XSS ，等待目标触发上线了，这里我就随便在我博客找个页面插入 XSS ，然后本地虚拟机演示：