DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

渗透测试之地基钓鱼篇:thinkphp平台XSS钓鱼

作者: 庄吉 发布时间: 2021年01月28日 13:46:24

渗透测试-地基篇:

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!

网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码等,还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。

网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。

这篇主要演示如何利用XSS植入钓鱼,获得管理员内部电脑权限!

二、环境介绍

1608213735_5fdb64e7aa0655a649f8f.png!small?1608213737710

黑客(攻击者):

IP:192.168.1.9

系统:kali.2020.4

kali上作为cs的服务端!

VPS服务器:

thinkphp平台地址:

钓鱼地址:

办公电脑:

系统:windwos7

双网卡:

192.168.175.153

10.10.1.5

目前kali上运行了Cobalt strike ,攻击者在自己的公网VPS服务器上制作了后门页面钓鱼,通过渗透发现thinkphp贷款平台页面存在XSS漏洞利用,通过插入XSS-js代码,植入链接,最终黑客控制管理员办公电脑的过程!!

三、XSS演示

此次演示贷款thinkphp平台在公网服务器上!

1、注册账号密码

1608213796_5fdb6524d4f5c65abd540.png!small?1608213799469

进入个人中心!

1608213844_5fdb6554a8263e1c98bc8.png!small?1608213850622

注册用户名密码!

1608213880_5fdb65783ae3588658d0b.png!small?1608213882451

登录用户名密码后,普通用户界面!点击设置!

1608213898_5fdb658a514665cabcdda.png!small?1608213898747

输入结算信息,测试下!

2、存在XSS漏洞

1608213954_5fdb65c2acf9e2beee7ae.png!small?1608213955158

输入:<script>alert(1)</script> 

测试结果修改成功!查看下前端...

1608213978_5fdb65dad886bd9c889f7.png!small?1608213980172

查看源代码-编辑后查看到没变动,XSS代码还是存在...说明存在XSS攻击

3、注册XSS平台

1608214004_5fdb65f41c23d81ab99a1.png!small?1608214004723

https://xss.pt/xss.php?do=login
进入XSS利用平台,google也有很多别的平台!!
随意注册一个账号!

本文地址:http://www.jinanshengke.com/wlzs/63263.html

请遵守互联网相关规定,不要发布广告和违法内容