Спонсор публикаций Cyber-512

Готовим специалиста в области ИБ  - Воспитаем специалиста в области ИБ с нуля до начального уровня. После обучения сможете оказывать услуги по проведению тестирования на проникновение ( легальный хакинг )

<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

XSSer - От XSS к RCE

От XSS к RCE: XSSer

Данный пример демонстрирует, как атакующий может использовать XSS для выполнения произвольного кода на веб сервере, когда администратор неумышленно запускает спрятанный XSS пейлоад. Пользовательские инструменты и пейлоады, встроенные в Metasploit Meterpreter в высокоавтоматизированном подходе, будут продемонстрированы в реальном времени, включая пост эксплуатационные сценарии и интересные данные, которые могут быть получены из взломанных приложений. Эта версия включает в себя отличные уведомления и новые векторы атак!

Скачать XSSer

Межсайтовый скриптинг (XSS) является типом уязвимости компьютерной безопасности, которая обычно присутствует в веб-приложениях. XSS позволяет злоумышленникам внедрять клиентские скрипты на веб-страницы, просматриваемые другими пользователями. Уязвимость межсайтового скриптинга может быть использована атакующими для обхода средств управления доступом, как правило, того же происхождения. Уязвимости, связанные с межсайтовым скриптингом, могут варьироваться от мелких неприятностей до значительного риска безопасности, в зависимости от значимости данных, обрабатываемых уязвимым сайтом, и характера любого смягчения безопасности, реализованного владельцем сайта. Способность запускать выполнение произвольного кода с одной машины на другой (особенно через глобальную сеть, такую как Интернет) часто называют выполнение удаленного кода.



Требования

  • Python (2.7.*, версия 2.7.11 была использована для разработки и демоверсии)
  • Gnome
  • Bash
  • Msfconsole (доступна через переменные среды)
  • Netcat (nc)
  • cURL (curl) [Новое]
  • PyGame (apt-get install python-pygame) [Новое]

Совместимость пейлоадов

  • Chrome (14 Nov 2015) – Эта все еще будет работать.
  • Firefox (04 Nov 2016) – Была протестирована в режиме реального времени на Black Hat Arsenal 2016

Директории

  • Аудио: Содержит ремиксные звуковые уведомления.
  • Эксплойты: Содержит DirtyCow (DCOW) эксплойты эскалации привилегий.
  • Joomla_Backdoor: Содержит образец бэкдора расширения Joomla, который можно загрузить как администратор, а затем использовать для выполнения произвольных команд в системе с помощью системы ($ _ GET [‘c’]).
  • Payloads/javascript: Содержит пейлоады JavaScript. Содержит новый пейлоад «добавить нового админа» для Joomla.
  • Оболочки: Содержит оболочки PHP для вставки, включая немного измененную версию оболочки pentestmonkey, которая подключается обратно через wget.



Внимание конкурс! на форуме codeby

Наш конкурс  - это возможность получить денежные призы, премиум доступ на форуме и скидку в нашем маркетплейсе

Похожие темы

Будущее MITM WPA атак. Fluxion V0.23 (rev.108)... Привет гости и обитатели форума Codeby.net. В этой статье мы ознакомимся с обновлением утилиты Fluxion. Данная утилита предназначена для осуществл...
Venom Codename The Beast Привет, гостям и постояльцам форума Codeby! Недавно я описывал инструмент для тестирования на проникновение под названием Venom 1.0.12 Codename: Bla...
Защита от Meterpreter с помощью AntyPwny... Всем привет! В этой статье я хотел бы коснуться темы защиты от Metasploit в частности от шелла Meterpreter. Тем, кто не знаком с этим, я совет...
Пентест руками ламера. Часть — 1... О чем эта заметка: в последнее время на ресурсе стали все чаще и чаще появляться вопросы о реализации навыков в жизни с возможностью получения опл...
Фреймворк Operative Привет! В этой статье, я хочу ознакомить вас с фреймворком, основные функции которого, основаны на работе с fingerprint (отпечатками). Фреймвор...