利用xss漏洞结合xss平台实现社工钓鱼

最新推荐文章于 2024-06-12 10:55:23 发布
置顶 最新推荐文章于 2024-06-12 10:55:23 发布
阅读量7.1k 收藏 37
点赞数 9
分类专栏: web漏洞 文章标签: xss漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39101049/article/details/85718011
版权

本文主要介绍如何结合 xss平台 利用xss漏洞 然后,伪造一个钓鱼登陆页,然后,实现钓鱼,获取 用户和密码,之后传到我们的公网服务器中

首先我们需要一个存在xss漏洞的网站,不管是反射或存储,只要它有txtx ,然后呢你还得有一台公网服务器,当然在局域网中的话就可以考虑用自己的物理机开一个web服务器。用来接收钓鱼页 post回来的用户和密码。然后呢 随便去个xss平台注册 ,我注册的是这个xss平台。
在这里插入图片描述

关于xss漏洞 就不细说了 网上资料也很多,反正记住xss不止打cookie,有xss漏洞 我们就可以插入js代码 ,既然能插入js代码,那么我们能干的事就很多,这篇文章利用的思路是 ,用xss漏洞插入一段js代码,只不过这段代码我已经提前部署在xss平台里,这段js代码的功能就是 当xss代码被执行后,能弹出一个alert,提示你登陆过期,然后用一个frame 覆盖整个页面,然后呢这个frame的src是我们公网上搭的一个钓鱼页 ,当然我们得事先把这个钓鱼页做好。然后一般的人就认为可能真的“登陆过期”了,其实页面还是在之前那个xss页面,只不过呢 我们在当前页面生成一个frame 覆盖了整个页面。并且我们url是没有 跳转的,所以说,欺骗性是很强的。

好 废话不多说 ,这里我自己搭建了一个存在xss漏洞的页面,他们是论坛中存在xss漏洞 来看我疯狂操作。。 大佬莫笑。。。
首先 登陆上去

最低0.47元/天 解锁文章
2ed
关注
  • 9
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
XSS钓鱼攻击演示。
weixin_44720762的博客
05-01 3410
basic认证的钓鱼攻击: 在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 7836
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是get型xss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6620
XSS漏洞利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
【网络安全】XSS漏洞- XSS基础概述及利用
最新发布
goldfish8848的博客
06-12 1103
跨站脚本(Cross-site Scripting)攻击,攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML中的CSS相混淆,通常称它为XSS
xss实现钓鱼操作
weixin_38168786的博客
01-29 1328
自己写一个和原网站后台登录地址一模一样的钓鱼页面JS加载一个iframe 100%覆盖原网页 提示登录超时重新登录 因为是iframe加载 url地址不变 钓鱼成功后 再跳转回/admin/index.php 因为目标session没过期 所以可以极大程度的模拟正常的登录成功操作。 注入如下代码: 1 setTimeout(function(){ 2 parent.docum...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
热门推荐
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
xss漏洞】存储型XSS漏洞钓鱼及键盘记录
weixin_43526443的博客
04-24 633
一、攻击方脚本代码     1. 钓鱼脚本 1.1.1 弹出伪造验证框脚本 <?php error_reporting(0); // var_dump($_SERVER); if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) { //发送...
xsstry:xss漏洞利用平台
06-10
**XSS漏洞利用平台——深入理解XSS与CSS在安全中的角色** XSS(Cross Site Scripting)漏洞是一种常见的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意脚本。"xsstry"是一个用于XSS漏洞测试和利用平台,...
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
作者如何利用xss漏洞shua盒子rank的1
08-04
为了检测和利用XSS漏洞,开发者和安全研究人员会使用各种工具,如Burp Suite、Nessus、OWASP ZAP等。这些工具能够自动化地发送请求,检测响应中是否存在可利用XSS漏洞。 【XSS防御策略】 防止XSS攻击的关键在于...
JSP安全开发之XSS漏洞详解
10-21
在JSP开发中,XSS(Cross Site Scripting)漏洞是一种常见的安全问题,它允许恶意攻击者通过在网页上注入可执行的脚本代码来操纵用户浏览器,进而对用户进行攻击。XSS攻击通常发生在服务器未能正确处理或验证用户...
浅谈水坑攻击之结合xss平台钓鱼获取浏览器记录和微信数据
milu_Sec的博客
12-30 507
希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。再生成一个新的马子(这里本来是想生成flash_install.exe的,结果手打快了,少了个a,后面都是用的少a版本,读者别被这个误导了)ok,下面你就可以畅游受害者电脑了,比如把wx裤子脱了看看他每天和谁聊天聊什么,亦或者看看浏览器的记录,这里放一张本人的浏览器数据。使用exploit模块并设置攻击载荷。
xss防御补丁_Discuz论坛最新dom xss漏洞的解决方法
weixin_28920823的博客
01-13 416
无忧主机小编在日常处理客户网站问题时,经常遇到网站因为程序漏洞出现的问题。网站安全的发展,才能使得管理者放心营运。但是比较无奈的是,漏洞问题貌似屡见不鲜,就算再强大、再常用的程序,都会有诸如漏洞的问题,如discuz。下面是我们今天要讲的漏洞:qq互联插件dom xss漏洞关于漏洞的描述:在JS字符串中,字符还可以表示为unicode的形式。即:单引号还可以表示为\u0027或\x27。由于没有过...
1-Web安全——XSS跨站脚本漏洞
网络安全
07-07 798
1. XSS漏洞原理解析 XSS跨站脚本攻击(Cross Site Scripting,简称为XSS)是一种针对web网站安全的漏洞攻击技术,恶意攻击者利用网站程序对用户输入过滤不足,在网站中插入对用户有影响的恶意脚本代码(通常是js或html等脚本代码),当用户使用浏览器打开浏览该网页时,恶意代码就会在用户浏览器上执行,从而盗取用户cookie,黑掉网页,导航到恶意网站。 看起来XSS漏洞主要是攻击用户,属于客户端攻击,跟网站服务器的安全并没有直接关系,但是别忘了web网站的管理后台的用户也属于被攻击
xss漏洞原因以及如何应对
风烟
01-26 9081
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输出到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
python实现web服务器介绍_Python 实现一个简单的web服务器
weixin_39724266的博客
01-12 103
import reimport socketdef service_cilent(new_socket):request = new_socket.recv(1024).decode("utf-8")# Python splitlines() 按照行('\r', '\r\n', \n')分隔,返回一个包含各行作为元素的列表,如果参数 keepends 为 False,不包含换行符,如果为 True...
跨站脚本攻击——使用XSS钓鱼
lay_loge的博客
05-22 1272
一、题目 This lesson is an example of how a website might support a phishing attack Below is an example of a standard search feature. Using XSS and HTML insertion, your goal is to: Insert html to that req...
XSS漏洞利用深度解析
"xss利用与挖掘" XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。通过XSS攻击,攻击者能够窃取用户的敏感信息,如cookies,或者控制用户的浏览器行为,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值