XSS漏洞的利用

  • A+
所属分类:技术园 渗透

前言:

最近一段时间 爆出很多站点的XSS漏洞 有土豆 开心网 94KK论坛 黑软基地和38黑客联盟的 昨天又公布一个QQ空间的漏洞(虽然现在没找到合适的利用方法 但是QQ空间的XSS漏洞还是不能小瞧的)over

正文:

一直让我给他做个XSS漏洞利用的教程 那么今天就给他做个 也希望 M.end 和 over 两个能看完这个教程后更大的发挥XSS漏洞的能力

也把这个教程送给大家 希望大家多多研究以下XSS 千万不要小瞧它不说废话直接搞

我们今天给大家测试一个最简单明了 的XSS漏洞

他是 凡诺企业网站管理系统的M.end 把这套系统架设好了

他在寻找这套系统的注入漏洞和其他的东西我没事可作就试了以下XSS漏洞

结果被我找到了 在这套程序的 留言本处存在XSS跨站漏洞 非常严重的 利用此漏洞可以很简单的拿下网站 甚至让管理员成为你的肉鸡

我们来看一下怎么利用 留言提交了 我们去后台看以下 看见没 当我们登录后台 点 留言管理的时候

出现了百度的网站这个就是我们刚才在留言的时候 在标题那里输入代码所造成的测试代码如下:

点在线留言 在标题处 输入: <script>window.open( "http://www.baidu.com" )</script>

这个代码就是网页跳转的 当管理员在后台点留言管理的时候

会自动弹出 百度的网站当然你也可以输入别的代码 比如截取 cookie 的XSS可以做很多事情

不只是截取 cookie 这么简单 怎么利用完全看个人的了你可以使用XSS做很多事情

这个跳转网页只是最基本的利用方法

你可以构造一个拦截cookie的攻击代码当管理员在后台 管理留言的时候 他的 cookie 就被你截取 你也得到了管理员权限这样一个不起眼的 XSS漏洞 造成了这个网站的沦陷

好了教程到这里了

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: