复制URL！
浏览器中访问后，正常进入管理员后台！
四、利用XSS钓鱼1、搭建Flash钓鱼页面在公网服务器搭建钓鱼页面，任何能访问互联网客户都可以访问该页面！
2、生成免杀后门利用Cobal Strike生成C#语言的shell…
利用该shell进行混淆，并利用python的tinyaes模块混淆也行，在来个分离免杀，最后利用pyinstaller生成exe外壳…必过全国杀毒软件！（不演示过程）
将flash修改名字为：
flashplayer_install_cn.exe（或者修改为update等吸引人下载的名称都行）
3、修改Flash源码这是Flash贷款平台源码文件目录！！
修改index.html代码，找到其中href=https://www.520longzhigu.com/shenghuo/”进行修改为：
flashplayer_install_cn.exe
意思就是点击页面立即下载就能自动下载目录下的exe后门文件！
在准备个js文件，意思是执行该js后，会在页面提示：
您的 FLASH 版本过低，尝试升级后访问该页面!
并访问到该页面：
http://flash.dayuixiyou.cn/
将exe和js都上传到功能网服务器apache底层！
测试访问可看到正常读取，确保内网管理员能执行XSS后访问到js文件，这里就可以开始了！
4、利用XSS漏洞植入JS可看到利用（三）中XSS利用的方法，执行插入：
“><”
#需要前后加入闭合 “> <”
当”立即提交” 后直接执行了XSS植入的js文件，并提示了js中的内容！！
然后点确定后，直接跳转到flash页面！
和（三）中的方法一样，需要在后台管理页面也执行XSS，需要结算金额，让管理员去结算的时候点击执行XSS！
5、执行XSS下载flash
可看到内网管理员上班期间，登录到管理后台，登录管理员用户后，工作职责需要给客户结算金额，点击了提现申请，一般客户安全意识极差！！
点击完成后，出现了您的 FLASH 版本过低，尝试升级后访问该页面!，一般情况下都会点击确认！
确认后跳转到flash页面，逼真的页面！！点击立即下载！！
这里有个20.1MB的大小信息，这里简单在html修改下数字和EXE内容大小即可！
可看到下载了该后门，这里图标我没修改，google或者百度利用Folder Changer修改成flash安装包的图标更逼真！！
这里的exe是全免杀的，杀毒软件都无法放行！！
6、成功XSS钓鱼
执行安装！


成功在kali攻击机上的CS上线，可看到获取到了管理员电脑的权限！！
网络安全渗透测试资料一>关注我，私信回复“资料”领取<一五、总结这里通过渗透中，找到了某平台的XSS漏洞，利用XSS漏洞植入代码执行，诱骗到了对方客服或者管理员的内网电脑权限！
其中最少需要熟悉如何搭站、HTML、js、域名、XSS、免杀、CS4等等知识才可搭建！
那么很多人都说flash都是经典的钓鱼漏洞了，全国警惕性都会高很多，那么我还是老话，提供的是思路，如果是一个破解软件，一个购买网站，一个利用虚荣心或者是贪小便宜的购物页面，等等进行钓鱼，进行各类的植入的话，那有多少人会中招？
希望大家提高安全意识，没有网络安全就没有国家安全！
虽然基础，但是必须牢记于心 。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

• Linux切换到root用户 linux切换root用户命令有哪些
• linux查看防火墙状态及开启关闭命令 linux查看防火墙是否开启
• Linux改文件名命令 linux改文件名怎么改
• linux系统下的虚拟机 linux下虚拟机能自己启动吗
• linux改ip地址的改法 linux改ip地址怎么改
• linux重置系统到刚安装状态 linux系统恢复初始化
• linux 新建文件夹的命令 linux如何创建文件夹
• Linux虚拟机三种网络配置 linux虚拟机网络设置
• linux和windows的区别 linux是什么意思
• 服务器开启端口命令 linux开端口命令