XSSer — От XSS к RCE

XSSer — От XSS к RCE

Life-Hack

Данный пример демонстрирует, как атакующий может использовать XSS для выполнения произвольного кода на веб сервере, когда администратор неумышленно запускает спрятанный XSS пейлоад. Пользовательские инструменты и пейлоады, встроенные в Metasploit Meterpreter в высокоавтоматизированном подходе, будут продемонстрированы в реальном времени, включая пост эксплуатационные сценарии и интересные данные, которые могут быть получены из взломанных приложений. Эта версия включает в себя отличные уведомления и новые векторы атак!

Скачать XSSer

Межсайтовый скриптинг (XSS) является типом уязвимости компьютерной безопасности, которая обычно присутствует в веб-приложениях. XSS позволяет злоумышленникам внедрять клиентские скрипты на веб-страницы, просматриваемые другими пользователями. Уязвимость межсайтового скриптинга может быть использована атакующими для обхода средств управления доступом, как правило, того же происхождения. Уязвимости, связанные с межсайтовым скриптингом, могут варьироваться от мелких неприятностей до значительного риска безопасности, в зависимости от значимости данных, обрабатываемых уязвимым сайтом, и характера любого смягчения безопасности, реализованного владельцем сайта. Способность запускать выполнение произвольного кода с одной машины на другой (особенно через глобальную сеть, такую как Интернет) часто называют выполнение удаленного кода.

Видео по теме.

Требования

  • Python (2.7.*, версия 2.7.11 была использована для разработки и демоверсии)
  • Gnome
  • Bash
  • Msfconsole (доступна через переменные среды)
  • Netcat (nc)
  • cURL (curl) [Новое]
  • PyGame (apt-get install python-pygame) [Новое]

Совместимость пейлоадов

  • Chrome (14 Nov 2015) – Эта все еще будет работать.
  • Firefox (04 Nov 2016) – Была протестирована в режиме реального времени на Black Hat Arsenal 2016

Директории

  • Аудио: Содержит ремиксные звуковые уведомления.
  • Эксплойты: Содержит DirtyCow (DCOW) эксплойты эскалации привилегий.
  • Joomla_Backdoor: Содержит образец бэкдора расширения Joomla, который можно загрузить как администратор, а затем использовать для выполнения произвольных команд в системе с помощью системы ($ _ GET [‘c’]).
  • Payloads/javascript: Содержит пейлоады JavaScript. Содержит новый пейлоад «добавить нового админа» для Joomla.
  • Оболочки: Содержит оболочки PHP для вставки, включая немного измененную версию оболочки pentestmonkey, которая подключается обратно через wget.

Источник

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org