精通黑客脚本(黑客技术自学网站)

精通黑客脚本(黑客技术自学网站)

黑客平台hacker2024-01-13 11:20:311535A+A-

  来自:FreeBuf(FreeBuf.COM)

  作者:ymmy

  链接:https://www.freebuf.com/sectool/109239.html(点击尾部阅读原文前往)

  相信很多小伙伴都知道XSS测试,至于如何更加有效地插入载荷是一件重复性的高强度劳动工作,在此本文介绍了一款自动进行插入XSS,并且可以自定义攻击载荷。这些载荷从几十条到几百条甚至几千条。该脚本也同时包含了一些绕过各种WAF的语句。

  0×01 BruteXSS

  BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。

  特点:

  XSS暴力破解

  XSS扫描

  支持GET/ POST请求

  自定义单词可以包含

  人性化的UI

  0×02 下载与安装

  源代碼作者: https://github.com/shawarkhanethicalhacker/BruteXSS?files=1

  下载地址:https://github.com/ym2011/penetration/tree/master/BruteXSS

  安装小提示:1 脚本需要以下条件方可正常执行:

  Python 2.7 #在运行python 2.7的平台上,如Windows , Linux 或者其他设备

  Modules required: Colorama, Mechanize #所需模块,请参考以下方式安装

root@kali:~/Desktop/BruteXSS

# pip install colorama

  root@kali:~/Desktop/BruteXSS # pip install Mechanize

0×03 实际使用

  安装成功后,我们可以执行以下语句:

  root@kali:~/Desktop/BruteXSS # python brutexss.py -h

  #在目录 BruteXSS 下,有wordlist.txt wordlist-small.txt wordlist-medium.txt wordlist-huge.txt四个攻击载荷

  wordlist.txt # 约20条常用语句,可以执行一个基本简单的XSS检查

  wordlist-small.txt #约100条语句,可以执行一个相对全面的XSS检查

  wordlist-medium.txt #约200条语句,可以执行一个绕过WAF的XSS检查

  wordlist-huge.tx #约5000条语句,可以执行一个非常全面的并且绕过WAF的XSS检查

  1、GET 方法

  COMMAND: python brutexss.py

  METHOD: g

  URL: https://www.site.com/?parameter=value

  WORDLIST: wordlist.txt

  2、POST方法COMMAND: python brutexss.py

精通黑客脚本(黑客技术自学网站)

  METHOD: p

  URL: https://www.site.com/file.php

  POST DATA: parameter=value&parameter1=value1

  WORDLIST: wordlist.txt

精通黑客脚本(黑客技术自学网站)

  3、结果输出

  ____ _ __ ______ ____ | __ ) _ __ _ _| |_ ___ \ \/ / ___/ ___| | _ \| '__| | | | __/ _ \ \ /\___ \___ \ | |_) | | | |_| | || __/ / \ ___) |__) | |____/|_| \__,_|\__\___| /_/\_\____/____/ BruteXSS - Cross-Site ing BruteForcer Author: Shawar Khan - https://shawarkhan.com Select method: [G]ET or [P]OST (G/P): p [?] Enter URL: [?] > https://site.com/file.php [+] Checking if site.com is available... [+] site.com is available! Good! [?] Enter post data: > parameter=value&parameter1=value1 [?] Enter location of Wordlist (Press Enter to use default wordlist.txt) [?] > wordlist.txt [+] Using Default wordlist... [+] Loading Payloads from specified wordlist... [+] 25 Payloads loaded... [+] Injecting Payloads... [+] Testing 'parameter ' parameter... [+] 2 / 25 payloads injected... [!] XSS Vulnerability Found! [!] Parameter: parameter [!] Payload: "><>prompt(1)</> [+] Testing 'parameter1 ' parameter... [+] 25 / 25 payloads injected... [+] 'parameter1 ' parameter not vulnerable. [+] 1 Parameter is vulnerable to XSS. +----+--------------+----------------+ | Id | Parameters | Status | +----+--------------+----------------+ | 0 | parameter | Vulnerable | +----+--------------+----------------+ | 1 | parameter1 | Not Vulnerable | +----+--------------+----------------+

  以下是运行使用结果截图:(哈哈,安全维基小广告 https://www.sec-wiki.com/ ***^^___^^*****)

  

  链接:https://www.freebuf.com/sectool/109239.html(点击尾部阅读原文前往)

  ●本文编号198,以后想阅读这篇文章直接输入198即可。

  ●输入m可以获取到文章目录。

更多推荐请看《15个技术类公众微信》

  涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。传播计算机学习经验、推荐计算机优秀资源:点击前往《值得关注的15个技术类微信公众号》

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 礼忱七禾2024-01-13 23:09:32
  • le | +----+--------------+----------------+ | 1 | parameter1 | Not Vulnerable | +----+--------------+------
  • 蓝殇鸠骨2024-01-13 19:13:17
  • ' parameter... [+] 25 / 25 payloads injected... [+] 'parameter1 ' parameter not vulnerable. [+] 1 Parameter is vulnerable to XSS. +---
  • 笙沉念稚2024-01-13 11:57:19
  • 劳动工作,在此本文介绍了一款自动进行插入XSS,并且可以自定义攻击载荷。这些载荷从几十条到几百条甚至几千条。该脚本也同时包含了一些绕过各种WAF的语句。  0×01 BruteXSS  BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该
  • 痴者未芩2024-01-13 12:11:46
  • hon brutexss.py  METHOD: p  URL: https://www.site.com/file.php  POST DATA: parameter=value&parameter1=value1  WORDLIST: wordlist.txt  3、结果输出  ____

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理