| 关键词: Shell JSshell 反向 Payload 漏洞 生成 JavaScript 时长 工具 |
JSshell是一个JavaScript反向Shell工具,该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。 当前版本的JSshell支持在Unix和Windows操作系统上运行,并且同时支持Python2和Python3。跟JShell(一款由s0med3v开发的通过XSS漏洞获取JavaScript反向Shell的工具)相比,这是一个非常大的更新,而且JSshell还不需要Netcat的支持,这一点跟其他的JavaScript Shell也有很大的区别。 工具下载广大研究人员可以使用下列命令将JSshell项目源码克隆至本地: 工具使用生成JS反向Shell Payload:-g 设置本地端口号,用于监听和生成Payload(默认设置为4848):-p 设置本地源地址,用于生成Payload(JSshell默认将使用设备IP地址):-s 设置shell连接的超时时长,如果用户退出页面,shell将会暂停,如果设置了超时时长,那么在一段时间无响应之后,shell将会自动关闭:-w 拿到Shell之后,执行命令:-c 快速使用样例JSshell运行样例接下来,我们将给大家演示如何一步一步使用JSshell来利用XSS漏洞。 首先,我们将生成一个反向JS Shell Payload,并设置shell超时时长为20秒: 接下来,将生成的Payload拷贝到存在XSS漏洞的网站(或URL)中: 访问目标页面,接下来我们将看到已经成功拿到了反向JS Shell: 现在,我们就可以执行某些命令了: 运行之后,浏览器将弹出一个警告信息:hacked 浏览器将会打印出用户Cookie信息: 我是安仔,一名刚入职网络安全圈的网安萌新,欢迎关注我,跟我一起成长; 欢迎大家私信回复【入群】,加入安界网大咖交流群,跟我一起交流讨论。 小白入行网络安全、混迹安全行业找大咖,以及更多成长干货资料,欢迎关注#安界网人才培养计划#、#网络安全在我身边#、@安界人才培养计划。 原文链接:https://www.freebuf.com/articles/network/239373.html |
| 本文出处: https://www.toutiao.com/a6846212373628322318/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|