小白学习kali linux day5(XSS漏洞学习)

原创 已于 2023-05-30 14:52:41 修改 · 817 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #学习 #安全

于 2023-05-29 21:26:13 首次发布
本文介绍了如何使用BEEF工具进行XSS渗透测试,包括安装、启动过程,以及设置和利用XSS钩子来检测和攻击靶场平台如DVWA。在KaliLinux中,通过修改源、卸载及重装解决安装问题,然后利用配置文件管理密码。最终,通过创建警示框展示如何获取并利用cookie实现XSS攻击。

 BEEF工具介绍

BEEF工具针对浏览器进行渗透测试,可以进行XSS漏洞攻击和利用。

首先安装beef如下:

首先安装beef-xss工具:

 之后启动beef工具:绿色框框里为beef密码,可以为123.

下图框框内的表示xss漏洞的钩子,ip应该为你的kali的ip地址。

 上图的beef-xss打开失败,可以给kali换源,执行vim /etc/apt/sources.list,再分别执行sudo apt-get update和sudo apt-get upgrade两个命令,我换的阿里源。然后执行apt remove beef-xss把beff-xss卸载,再apt-get install beef-xss执行重装。安装成功后再执行beef-xss启动,如下图所示:

 同时还会打开一个beef-xss工具网页如下:

 建议这里改成自己kali机的ip,因为是你的kali机进行xss攻击。

若忘记密码,则查看其配置文件:vim /etc/beef-xss/config.yaml /

登录成功!下面可以进行xss攻击了!

下面打开phpstudy和dvwa靶机平台(该靶场平台的搭建教程:DVWA靶场环境搭建_dvwa靶场搭建-优快云博客,搭建的时候一定要注意phpstudy的密码和config.inc.php文件的密码一致。)并输入钩子网站:

 这时kali机会感受到有人使用了钩子:

下面创建警示框:

然后就可以查看获取的cookie,xss攻击成功!

 

Build23
关注
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
热门推荐
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
渗透测试工具:跨站脚本漏洞检测---Xsser
gao646467783的博客
01-27 4303
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 跨站脚本者是一个自动框架
渗透利器-kali工具 (第三章-6) Xss漏洞学习之-Beef-Xss
最新发布
ztc131450的博客
12-05 771
xss跨站脚本攻击,是java script代码插入web页面中,之后当用户浏览页面,会执行嵌套在Wen页面里面的java script代码,从而达到攻击机用户的目的,如果kali中未存在,beef-xss,可以使用此命令下载:git clone https://github.com/beefproject/beef.git。beef:beef:一款浏览器攻击框架,用Runy语言开发的,kali中默认安装的一个模块,用户实现对xss漏洞攻击和利用。前端会轮询后端是否有新的数据需要更新,
Kali渗透测试之DVWA系列5——存储型XSS(跨站脚本攻击)
浅浅的博客
05-11 3054
目录 一、原理示意图 二、实验环境 三、实验步骤 安全级别:LOW 重定向 获取cookie 安全级别:Medium 安全级别:High 安全级别:Impossible 存储型XSS 长期存储于服务器端 每次用户访问都会被执行javascript脚本 了解XSS简...
掌握Kali Linux的Web渗透测试 - XSS攻击详解
lzc0604007的博客
11-18 1563
在数字化时代,网络安全成为企业和个人不可忽视的关键问题。随着网络攻击手段的不断演进,传统的安全防御措施显得捉襟见肘。作为应对,Web渗透测试成为了评估和提升网络安全性的重要方法之一。通过模拟黑客攻击,我们可以发现系统中的潜在漏洞并及时修复,从而提升整体的安全性。Kali Linux,这款专为网络安全测试设计的Linux发行版,因其集成了众多强大的渗透测试工具而受到广泛关注。本文将带您深入了解如何使用Kali Linux进行有效的Web渗透测试,特别是针对跨站脚本攻击XSS)的检测与利用。
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
xueshenlaila的博客
12-31 1522
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
【网络安全】一个完整的渗透学习路线是怎样的?
wlaq_juju的博客
07-10 1204
我是如何学习黑客和渗透测试的,在这里,我就把我的学习路线写一下,让新手和小白们不再迷茫,少走弯路,拒绝时间上的浪费!Kali Linux介绍Kali Linux的前世今生Linux常用命令介绍Kali工具集介绍修改Kali源和更新软件Kali常用配置和基本使用Kali启动root用户先想清楚自己对哪个行业更感兴趣,结合自己的兴趣、性格特征、能力强项去寻找适合自己的职业赛道。这个不仅仅是去看网上别人怎么选的,因为每个人的情况毕竟是不一样的,别人的选择不能适用于你。祝大家学有所成!
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 458
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
kali运行脚本 xss攻击payload 提取cookie
2401_84908950的博客
11-10 655
kali开启小型服务器运行xss脚本抓取cookie 复现:dvwa-存储型xxs
XSS漏洞文章总结
王嘟嘟的博客
09-20 1146
0x00 前言 对xss漏洞的一个总结 0x01 内容 1.xss漏洞说明 https://blog.youkuaiyun.com/qq_36869808/article/details/82787932
kali渗透测试之Web渗透-XSS-漏洞利用-键盘记录器,xsser
hacker3062的博客
09-15 529
进行html编码,目前最有效的方法(并非完全不可绕过【不需要尖括号的情况:如】)】{可用burpsuite进行编码}-v:显示详细信息;–heuristic  探测服务器,检查被过滤的字符(会发送大量请求){脑洞:sql}  【所有过滤机制都是基于字符过滤】伪造诱人连接{如:限时抢购门票、手机等},转到存在xss漏洞的页面【主要危害为登录页面】,窃取用户登录账号密码。可使用图形化界面  xsser --gtk  【不建议使用,界面不够友好】:将对应页面和参数写进**-g**参数中;
网络安全Kali Linux 进行SQL注入与XSS漏洞利用
cronaldo91的博客
03-27 2610
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
Kali安装beef-xss
qq_58000413的博客
08-10 2631
不更新可能会出现下面的情况:metasploit-framework : 依赖: ruby (< 1:2.8) 但是 1:3.0+1kali1 正要被安装。#把192.168.199.129替换成本机IP。
kali安装beef-xss(笔者的踩坑之旅)
m0_52403371的博客
04-03 3988
kali安装beef-xss(笔者的踩坑之旅)
2020-11-22
qq_51370368的博客
11-24 489
实验三 XSS和SQL注入 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值