引言
本来不打算写这篇文章的,因为网上这类文章实在太多太多,奈何总有童鞋问,即使说了百度搜索,童鞋还是表示一脸懵逼,于是写下了本文。
准备工作
- CS 安装配置完毕,这个我真不想写了,网上这类文章实在太多了,我也是最近几天才接触的 CS ,在安装配置过程中我遇到了 2 个小问题,也特意在博客中写了记录文,别的我也是照着网上的方式操作的,真的很简单。(CS 最好做到免杀,免杀方式网上也有很多,实在不懂可以用 CS 一键免杀 )
- 一个外网能正常访问的域名,域名最好和flash相关,伪造官网,所以域名越像越好,这里我只是为了写文章,就懒得去搞域名了,就用我平台的域名就行了。
- 搭建并且改写好自己的 flash 钓鱼页面
钓鱼页搭建
CS 我已经弄好了,接下来就是配置我们的 flash 钓鱼页面了,钓鱼页面可以前往 github 下载,现成的,只需要简单改一改就完事了。
多余的文件我给删了,接下来弄一个压缩包,这里由于我是为了演示,因此并没有去弄免杀,为了避免直接下载 EXE 文件被报毒的问题,我们仿照那些下载站的套路,弄成压缩包,然后在里面加个无毒误报的说明就行了,如果你是免杀马,就没必要弄压缩包了,毕竟官方也不是;
这里顺便借到请教懂的大佬一个问题,压缩包自解压种马,以前是可以的,现在好像不可以了,是因为 winrar 修复了,还是我操作不对?
接着需要改一改 index.html 这个主页中的代码:
将 41 行 下载地址改成你的马儿地址或者压缩包马儿地址
之后浏览测试了下钓鱼页面,发现有个404的错误加载导致网页图标不是立刻显示,要转半天,为了避免怀疑,我在我的网站上对应他路径加上了那个文件,看样子是因为调用了某个官方的 JS 导致的加载。
XSS 项目配置
这里需要勾选默认模块,用默认模块( 这种情况没必要用超级默认 )才能知道我们的 XSS 是否被触发,如果收到 XSS 通知 CS 却没有上线 那就说明是没上当;
接下来就是构造 XSS ,等待目标触发上线了,这里我就随便在我博客找个页面插入 XSS ,然后本地虚拟机演示:
本文作者为Mr.Wu,转载请注明,尊守博主劳动成果!
由于经常折腾代码,可能会导致个别文章内容显示错位或者别的 BUG 影响阅读; 如发现请在该文章下留言告知于我,thank you !
模板有xss后门
@寂寞没懂你意思,具体哪里有XSS? 是XSS平台有XSS后门,还是文中的视频演示页面?
大佬 你忘记收干 会被发现的 快跑啊 [aru_1]
@。[aru_6]
大佬,你的xss平台能共享下吗?我是之前那个csrf你站的哥们
@deepwebhacker新平台源码暂时不共享呢