XSS部分:利用Beef劫持被攻击者客户端浏览器。
实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。
1、利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图
首先,搭建好网站,如下
然后使用AWVS扫描网站,发现确实存在XSS漏洞,如下图:
2、Kali使用beef生成恶意代码,截图。
开启beef后,访问这个网站( http://192.168.37.128:3000/hook.js.),