|   Козырный хостинг на быстрых SSD   |


<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

XSSer - От XSS к RCE

От XSS к RCE: XSSer

Данный пример демонстрирует, как атакующий может использовать XSS для выполнения произвольного кода на веб сервере, когда администратор неумышленно запускает спрятанный XSS пейлоад. Пользовательские инструменты и пейлоады, встроенные в Metasploit Meterpreter в высокоавтоматизированном подходе, будут продемонстрированы в реальном времени, включая пост эксплуатационные сценарии и интересные данные, которые могут быть получены из взломанных приложений. Эта версия включает в себя отличные уведомления и новые векторы атак!

Скачать XSSer

Межсайтовый скриптинг (XSS) является типом уязвимости компьютерной безопасности, которая обычно присутствует в веб-приложениях. XSS позволяет злоумышленникам внедрять клиентские скрипты на веб-страницы, просматриваемые другими пользователями. Уязвимость межсайтового скриптинга может быть использована атакующими для обхода средств управления доступом, как правило, того же происхождения. Уязвимости, связанные с межсайтовым скриптингом, могут варьироваться от мелких неприятностей до значительного риска безопасности, в зависимости от значимости данных, обрабатываемых уязвимым сайтом, и характера любого смягчения безопасности, реализованного владельцем сайта. Способность запускать выполнение произвольного кода с одной машины на другой (особенно через глобальную сеть, такую как Интернет) часто называют выполнение удаленного кода.


Спонсор публикаций Marketplace codeby

Начни бизнес с codeby ! - продай или купи любой товар и услугу. При расчетах используем биткоин. Сервис, который так долго ждали.


Требования

  • Python (2.7.*, версия 2.7.11 была использована для разработки и демоверсии)
  • Gnome
  • Bash
  • Msfconsole (доступна через переменные среды)
  • Netcat (nc)
  • cURL (curl) [Новое]
  • PyGame (apt-get install python-pygame) [Новое]

Совместимость пейлоадов

  • Chrome (14 Nov 2015) – Эта все еще будет работать.
  • Firefox (04 Nov 2016) – Была протестирована в режиме реального времени на Black Hat Arsenal 2016

Директории

  • Аудио: Содержит ремиксные звуковые уведомления.
  • Эксплойты: Содержит DirtyCow (DCOW) эксплойты эскалации привилегий.
  • Joomla_Backdoor: Содержит образец бэкдора расширения Joomla, который можно загрузить как администратор, а затем использовать для выполнения произвольных команд в системе с помощью системы ($ _ GET [‘c’]).
  • Payloads/javascript: Содержит пейлоады JavaScript. Содержит новый пейлоад «добавить нового админа» для Joomla.
  • Оболочки: Содержит оболочки PHP для вставки, включая немного измененную версию оболочки pentestmonkey, которая подключается обратно через wget.



Спонсор публикаций Life-Hack [Жизнь-Взлом]

Life-Hack Уникальный, авторский и единственный в своём роде. Рассказывает самые свежие новости из кибер мира обучает взлому и познакомит вас с кучей полезного софта и расскажет про darknet

Похожие темы

Mitmproxy — интерактивный TLS-совместимый пе... Перевод: Анна Давыдова Источник: n0where.net Интерактивный TLS-совместимый перехватывающий HTTP прокси - Mitmproxy Mitmproxy является чрезвычайно...
Пентест руками ламера. Часть — 1... О чем эта заметка: в последнее время на ресурсе стали все чаще и чаще появляться вопросы о реализации навыков в жизни с возможностью получения опл...
The Penetration Testers Framework В этой статье я хочу вас ознакомить с фреймворком для тестировщиков на проникновение под одноименным названием - The Penetration Testers Framework...
Пентест руками ламера. Часть — 3... Поговорим теперь о железе более подробнее. У вновьвлившихся в тему, бытует мнение - нужно конкретно мощное железо, без него никак! Это не так, ...
Настройка уязвимых целей в Metasploit... Перейти к содержанию полного руководства пользователя Metasploit на русском языке. Настройка уязвимой цели Загрузка и настройка Metasploitable 2...