可以通过web的渗透把木马放到服务器的 *** 作系统上吗？

可以的，
被动的：1 你做一个带木马的网站，并且要人家来访问，譬如以前的框架挂马。
主动的：2 用第三方工具扫描公网的web服务器ip地址，查出对方的web服务器版本，并针对各自版本找相应的漏洞溢出工具，之后争取拿到webshell，下一步sql注入，获取管理权限，放入木马，清空日志。

漏洞描述：网站根目录下 crossdomainxml 文件指明了远程Flash 是否可以加载当前网站的资源。若配置不当，可能导致遭受跨站请求伪造（CSRF）攻击。

解决方法：对不需要从外部加载资 源的网站，在 crossdomainxml 文件中更改allow-access-from的domain属性为域名白名单。

---