文章插图
文章插图
简介
请注意:
本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的 。我将使用Kali Linux作为此次学习的攻击者机器 。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责 。
名言:
你对这行的兴趣,决定你在这行的成就!
2021最新整理网络安全渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>关注我,私信回复“资料”获取<一
一、前言
网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!
网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一 。无论是获取密码等,还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据 。
网络钓鱼攻击的兴起对所有组织都构成了重大威胁 。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局 。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型 。
这篇主要演示如何利用XSS植入钓鱼,获得管理员内部电脑权限!
二、环境介绍
黑客(攻击者):
IP:192.168.1.9
系统:kali.2020.4
kali上作为cs的服务端!
VPS服务器:
thinkphp平台地址:http://test1.dayuixiyou.cn/
钓鱼地址:http://flash.dayuixiyou.cn
办公电脑:
系统:windwos7
双网卡:
192.168.175.153
10.10.1.5
目前kali上运行了Cobalt strike,攻击者在自己的公网VPS服务器上制作了后门页面钓鱼,通过渗透发现thinkphp贷款平台页面存在XSS漏洞利用,通过插入XSS-js代码,植入链接,最终黑客控制管理员办公电脑的过程!!
三、XSS演示
此次演示贷款thinkphp平台在公网服务器上!
1、注册账号密码
进入个人中心!
注册用户名密码!
登录用户名密码后,普通用户界面!点击设置!
输入结算信息,测试下!
2、存在XSS漏洞
输入:
测试结果修改成功!查看下前端…
查看源代码-编辑后查看到没变动,XSS代码还是存在…说明存在XSS攻击
【kali渗透测试入门到实战 kali 渗透测试】3、注册XSS平台