跨站注入脚本

已于 2022-04-17 10:28:32 修改
阅读量720 收藏
点赞数 1
分类专栏: 中职网络空间安全赛题 网络安全 Python 文章标签: 网络安全 网络 安全 python
于 2022-03-30 00:47:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48609816/article/details/123836241
版权

环境:BT5渗透平台、一台IIS服务器,一台2003系统电脑

              在一个网段,记得设置dns

1、首先使用bt5自带的后门生成工具msfvenom生成后门文件,如果后门文件大小是0那么就需要重新生成。

2、然后使用VMwa自带的toolsHacker.exe文件拖到2003桌面上。

3、在iis服务器上配置网站,需要dnsiis组件

4、在2003上的拥有xss注入界面上进行跨站注入,这个语句的意思就是将用户访问页面跳转到www.Hacker.org/Hacker.exe,用户访问时就会出发后门木马软件。

这时候先去BT5配置下链接环境:

  1. 进入msfconsole

已经在监听了,这时候点击运行。

只要运行过就可以在一天内时限内连接靶机。

输入shell进入cmd界面。

到了这一步就完成了跨站脚本测试了

Beluga
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Javascript注入技巧
12-12
作者: kostis90gr 翻译: 黯魂[S.S.T] 本文已发表于《黑客防线》6月刊,版权属于《黑客防线》及脚本安全小组,转载请保持文章完整性,谢谢 :) 这份指南仅仅是出于报告目的,如果任何人把它用于违法目的,我不负责任. 通过使用javascript注入,用户不用关闭网站或者把页面保存在他的PC上就可以改变网站中的内容.这是由他的浏览器的地址栏完成的. 命令的语法看上去像这样: Copy code javascrit:alert(#command#) 比方说如果你想看到在网站http://www.example.com里面的一个警告框,那么首先在地址栏输入URL(www.example
谈谈对后台登陆页面的渗透测试
mingyqf的博客
04-06 6554
谈谈对后台登陆页面的渗透测试 发布时间:2019-09-03 16:00:06 作者:yida223 ](https://p2.ssl.qhimg.com/t01143b6838054b2754.png) 0x00 前言 有些朋友在渗透时扫描到后台登陆界面,却不知道如何入手。最近刚好在某公司做渗透实习,对目标固定的系统渗透有些体会。因此这里讲一下对网站后台登陆界面的渗透思路,希望能为大家提供一些帮助。 0x01 开始 本人在进入登陆界面时,一般都是先用万能密码什么的测下输入框有没有注入(现在很少见了)。如果
JavaScript程序基础(一)网页中引入Javascript的三种方法
授业中寻找乐趣
03-15 1万+
JavaScript是一种基于对象的脚本编程语言,具有动态、跨平台、基于对象和安全等特性。它不需要经过编译,而是直接嵌入在HTML页面中运行,可把单纯的HTML页面转变成支持用户交互和事件响应的动态页面。 在HTML中的使用JavaScript共有三种方法。 一、在页面中直接嵌入JavaScript 通过标签,可以在网页中直接插入Javascript脚本。下面来看两个示例: 示例1: <html> <head> <title>JavaScript简介</tit
如何在页面中嵌入自己写的Javascript脚本呢?
03-27 1万+
Chrome:1. 打开chrome扩展程序页 - chrome://extensions2. 将刚才的自定义脚本保存为以user.js为后缀的 .js文件,例如test.user.js,拖入扩展程序页。3. 重启浏览器。FireFox:1. 下载并安装用户脚本管理插件 greasemonkey (中文翻译成“油猴子”)。2. 重启浏览器。3. 将刚才的自定义脚本保存为 .js文件,例如test....
使用Tampermonkey(篡改猴)向页面注入js脚本
热门推荐
lyhDream的专栏
08-28 2万+
Tampermonkey是一款浏览器插件,适用于Chrome、Microsoft Edge、Safari、Opera Next 和 Firefox。他允许我们自定义javascript给指定网页添加功能,或修改现有功能。也可以用来辅助调试,或去除网页广告等。
火狐扩展开发:在第三方页面插入JS脚本
蓝色水池的博客
05-23 1484
第一步,首先在xul文件内引入执行插入脚本JS文件,例如:       第二步,向第三方插入脚本的代码:   var ffCreate = { init: function () { var appcontent = document.getElementById("appcontent"); // browser 详情见参考资料1 ...
XSS 跨站脚本注入
Zeker62的博客
08-24 763
什么是跨站脚本(XSS)? 跨站脚本(也称为 XSS)是一种 Web 安全漏洞,允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过旨在将不同网站彼此隔离的同源策略。跨站脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中拥有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。 XSS 是如何工作的? ...
XSS跨站脚本注入详解
qq_38634483的博客
02-24 996
XSS(Cross-site scripting)注入是一种Web安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本,从而导致攻击者能够窃取受害者的敏感信息或者利用受害者的身份在应用程序上执行未经授权的操作。
跨站脚本注入问题详解
yzx1238的博客
10-12 235
===========================问题描述========================跨站脚本注入的几种形式 *****="/&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt;&amp;passwd=&amp;ok.x=28&amp;ok.y=6 ******="/&gt;&lt;script&gt;wind..
了解js (xss)攻击
昊喵喵博士
02-20 2347
什么是XSS js代码攻击也就是XSS(Cross Site Scripting)攻击,全称为跨站脚本攻击。为了和CSS(Cascading Style Sheet)区分,故称为XSS。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBSc...
网页js脚本注入,可执行任意代码。
11-01
网页js脚本注入,可执行任意代码。这里有个实例教程,通过注入实现跳过验证码。
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
也谈跨站脚本攻击与防御
01-02
还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码,...
常用跨站脚本
02-28
SQL脚本注入及防范、跨站脚本
SQL注入跨站脚本
04-08
一篇有关SQL注入跨站脚本的文章,其中包含C#中的示例代码。
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8202
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 458
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 459
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
java反射型跨站脚本
06-11
Java反射不是一个跨站脚本攻击的方式。Java反射是一种机制,允许程序在运行时检查和修改其自身的行为。Java反射通常用于动态地创建对象、调用方法、访问字段等。虽然Java反射可以被用于执行一些危险的操作,但是它本身不会导致跨站脚本攻击。 跨站脚本攻击(XSS)是一种通过在Web应用程序中注入恶意脚本来攻击用户的技术。攻击者可以通过向用户发送包含恶意脚本的链接或者在受害者访问的页面中注入脚本来实现攻击目的。XSS攻击通常涉及到JavaScript编程语言,攻击者会利用JavaScript的能力来执行恶意代码。 要防止跨站脚本攻击,开发人员需要在编写Web应用程序时采取一些安全措施,例如过滤用户输入,使用HTTPS协议,使用输入验证和输出编码等。Java反射通常不会与跨站脚本攻击有关,因此不需要特别的防御措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Beluga

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值