1. 首頁 > 生活 > >

kali滲透測試入門到實戰 kali 滲透測試

小知識kali 滲透測試



文章插圖
kali滲透測試入門到實戰 kali 滲透測試

文章插圖

簡介
請注意:
本文僅用于技術討論與研究,對于所有筆記中復現的這些終端或者服務器,都是自行搭建的環境進行滲透的 。我將使用Kali Linux作為此次學習的攻擊者機器 。這里使用的技術僅用于學習教育目的,如果列出的技術用于其他任何目標,本站及作者概不負責 。
名言:
你對這行的興趣,決定你在這行的成就!
2021最新整理網絡安全滲透測試/安全學習(全套視頻、大廠面經、精品手冊、必備工具包)一>關注我,私信回復“資料”獲取<一
一、前言
網絡釣魚是社會工程學攻擊方式之一,主要是通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段!
網絡釣魚攻擊是個人和公司在保護其信息安全方面面臨的最常見的安全挑戰之一 。無論是獲取密碼等,還是其他敏感信息,黑客都在使用電子郵件、社交媒體、電話和任何可能的通信方式竊取有價值的數據 。
網絡釣魚攻擊的興起對所有組織都構成了重大威脅 。重要的是,如果他們要保護自己的信息,所有組織都應該知道如何發現一些最常見的網絡釣魚騙局 。同樣還要熟悉攻擊者用來實施這些騙局的一些最常見的技術類型 。
這篇主要演示如何利用XSS植入釣魚,獲得管理員內部電腦權限!
二、環境介紹
黑客(攻擊者):
IP:192.168.1.9
系統:kali.2020.4
kali上作為cs的服務端!
VPS服務器:
thinkphp平臺地址:http://test1.dayuixiyou.cn/
釣魚地址:http://flash.dayuixiyou.cn
辦公電腦:
系統:windwos7
雙網卡:
192.168.175.153
10.10.1.5
目前kali上運行了Cobalt strike,攻擊者在自己的公網VPS服務器上制作了后門頁面釣魚,通過滲透發現thinkphp貸款平臺頁面存在XSS漏洞利用,通過插入XSS-js代碼,植入鏈接,最終黑客控制管理員辦公電腦的過程?。?br /> 三、XSS演示
此次演示貸款thinkphp平臺在公網服務器上!
1、注冊賬號密碼
進入個人中心!
注冊用戶名密碼!
登錄用戶名密碼后,普通用戶界面!點擊設置!
輸入結算信息,測試下!
2、存在XSS漏洞
輸入:
測試結果修改成功!查看下前端…
查看源代碼-編輯后查看到沒變動,XSS代碼還是存在…說明存在XSS攻擊
【kali滲透測試入門到實戰 kali 滲透測試】3、注冊XSS平臺
https://xss.pt/xss.php?do=login進入XSS利用平臺,google也有很多別的平臺??!隨意注冊一個賬號!