在有 shell 的情況下,如何使用 xss 實現對目標站的長久控制

后臺登錄處加一段記錄登錄賬號密碼的js，并且判斷是否登錄成功，如果登錄成功，就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發到自己的網站文件中。(此方法適合有價值并且需要深入控制權限的網絡)。在登錄后才可以訪問的文件中插入XSS腳本。但是現在xss利用率不高了，很少能通過xss漏洞拿到webshell了，所以說這個問題沒有很好的解決方案了。

回答所涉及的環境：聯想天逸510S、Windows 10。