【XSS漏洞】通过XSS实现网页挂马

最新推荐文章于 2024-09-25 18:48:20 发布
最新推荐文章于 2024-09-25 18:48:20 发布
阅读量8.1k 收藏 64
点赞数 5
分类专栏: XSS web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Monsterlz123/article/details/91127385
版权

【XSS漏洞】通过XSS实现网页挂马

Hello,各位小伙伴们大家好~

端午假期第一天,大家玩嗨了嘛?

小编是玩嗨了,毕竟已经拖更五天了…
在这里插入图片描述
好啦,直接进入正题吧,前面也写了两期XSS相关的内容,今天就来点高大上的(并不是!),我们来通过XSS实现网页挂马吧~

一、准备工作

实验拓扑:
在这里插入图片描述
实验分为两部分:

1、通过Kali linux,利用MS14_064漏洞,制作一个木马服务器。存在该漏洞的用户一旦通过浏览器访问木马服务器,就会缓冲区溢出,攻击者可以直接获取用户的系统Shell。

2、将木马服务器的URL,插入到一个存在XSS漏洞的正常web服务器中,一旦有人访问该服务器的挂马页面,而且该用户存在MS14_064漏洞,就会中招。

Here we go ~

Part 1:制作木马服务器

1、基本介绍

(1)MS14_064漏洞

MS代表MicroSoft,14_064指的是2014年的第64个漏洞。

该漏洞影响范围为Win95+IE3 – Win10+IE11全版本,造成被攻击主机缓冲区溢出,触发该漏洞需要客户端安装有power shell软件。

(2)MetaSploit Framework(MFS)

本次进行缓冲区溢出的工具主要是MetaSploit Framework,其中集成了各个平台上常见的溢出漏洞和利用代码&#x

最低0.47元/天 解锁文章
Monsterlz123
关注
专栏目录
XSS漏洞,通过XSS实现网页挂马
qq_2411772106的博客
02-11 2286
首先我们的目标是一个存在存储型 XSS 漏洞网页,看过我前面文章的小伙伴们应该知道,DVWA 平台上就有专门给我们练习存储型 XSS 漏洞的页面,我们就通过这个网页来实践挂马。2、将木马服务器的URL,插入到一个存在存储型XSS漏洞的正常web服务器中,一旦有人访问该服务器的挂马页面,而且该用户存在MS14_064漏洞,就会中招。攻击载荷模块(payload),目标系统被成功渗透后执行的代码,payload 中的主要内容包括 shellcode,一段获取 shell 的代码。
xss--跨站脚本攻击
klcyl_0106的博客
05-14 2495
一、定义 攻击者在网页中嵌入恶意脚本代码(javascript),当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者目的。 二、原理 本质:可控变量,显示输出变量。代码在对数据进行显示出现的安全问题。——js代码 产生层面:前端。 函数类:输出型函数。 危害影响:受js代码影响。 浏览器内核版本:受对方浏览器版本限制,可能带有过滤。 三、危害 (1)窃取管理员帐号或cookie。入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息
XSS---一句话木马制作
最新发布
2402_82644071的博客
09-25 614
在渗透中webshell就是我们的一句话木马,什么是一句话木马捏?一个例子在我们的上传口里将木马文件上传就可以完成攻击了。
第六天实验详解——dedecms通过xss漏洞写马
weixin_34072857的博客
11-10 391
第六天实验详解 **XSS跨站攻击的分类** XSS漏洞类型主要分为持久型和非持久型两种: 1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。 2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。 > DOM XSS漏洞,也分为持久和非持久型两种,多是通过...
xss跨站脚本攻击_CTF自学笔记(三)跨站脚本攻击之利用xss实现网页挂马
weixin_39905816的博客
12-12 1068
点击上方蓝字关注!注:本篇文章为个人学习笔记仅供学习交流。制作一个木马服务器攻击机:kalilinux IP:192.168.1.20靶机:Windows xp IP:192.168.1.15原理:利用MS14_064漏洞进行攻击。存在该漏洞的用户一旦通过浏览器访问木马服务器,就会缓冲区溢出,攻击者可以直接获取用户的系统Shell。步骤:(1)输入如下命令开启MetaSplo...
metasploit利用IE漏洞XSS挂马拿内网主机
代码析构师的专栏
08-07 990
metasploit内网渗透方面好多方式,这只是科普下xss在内网中的利用。 系统:KALI 用到的工具:beEF+msf  利用的IE漏洞是:http://www.rapid7.com/db/modules/exploit/windows/browser/ie_execcommand_uaf MS12-063  Automatic IE 7 on Windows
Atitit. Xss 漏洞的原理and应用xss木马
weixin_34004750的博客
03-16 493
Atitit. Xss 漏洞的原理and应用xss木马   1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”、“假冒身份”、“WEB蠕虫3 2.4. 广告植入 弹窗 、信息收集 、流量转发 甚至是路由劫持3 2.5. 钓鱼攻击,高级的钓鱼技巧。3 2.6. 删除目标文章、恶意篡改数据、嫁祸。3 2....
JSP安全开发之XSS漏洞详解
10-21
在JSP开发中,XSS(Cross Site Scripting)漏洞是一种常见的安全问题,它允许恶意攻击者通过在网页上注入可执行的脚本代码来操纵用户浏览器,进而对用户进行攻击。XSS攻击通常发生在服务器未能正确处理或验证用户...
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2687
xss学习笔记
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2216
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
XSS跨站攻击,注入代码整理,大全
03-03
XSS跨站攻击,注入代码整理,希望大家支持
web攻击XSS
basycai的博客
07-28 1521
from: http://ifeve.com/javaee-http-2/# http://www.2cto.com/Article/201209/156182.html http://blog.csdn.net/ghsau/article/details/17027893 1.有哪些攻击? Xss(cross-site scripting)攻击指的是攻击者往Web页
xss简单渗透测试
peilizeng的专栏
04-13 403
<br />xss简单渗透测试<br />  Author: jianxin [80sec] EMail: jianxin#80sec.com Site: <br />http://www.80sec.com Date: 2008-12-24<br />From: http://www.80sec.com/release/xss-how-to-root.txt<br /> [ 目录 ]<br /> 0×00 前言 <br />0×01 xss渗透测试基本思路 <br />0×02 一次黑盒的
跨站挂马全攻略
Simael的专栏
10-18 686
跨站挂马全攻略    转载请注明版权:http://a1pass.blog.163.com/   A1Pass   《黑客X档案》  现在的黑客攻击手法中,跨站挂马似乎正在逐渐成为攻击的主流话题,鉴于这种形势,俺就把我学习跨站挂马的一点心得总结出来与大家分享。 由于考虑到知识的认知过程以及入门朋友们的技术底子问题,本文将分为“基础知识”、“跨站漏洞”与“挂马技巧”三部分组成,咱们先来学
网页木马挂马实现与防范
qq_43678263的博客
12-10 2478
网页木马挂马实现与防范
XSS漏洞分类及危害
热门推荐
lay_loge的博客
05-22 3万+
常见的XSS漏洞分为存储型、反射型、DOM型三种。 (1)反射型XSS 用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构...
【web安全】深入浅出XSS
kkza的博客
11-04 645
XSS,即跨站脚本攻击,是指攻击者在页面中注入恶意的js代码,并被浏览器执行 分类 反射型 形式:
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 4212
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
XSS攻击详解:跨站安全漏洞的危害与防范
- XSS通过注入恶意代码到网页中,利用用户浏览器对HTML和JavaScript的解析信任,绕过同源策略(Same-Origin Policy)。 - 反射型XSS(Reflected XSS):攻击者直接在URL中添加恶意脚本,当用户访问该链接时执行。 ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值