RCE (Remote Code Execution) یک آسیب پذیری مهم است که معمولاً هدف نهایی حمله است. با اجرای کد ، می توانید سرورها ، کلاینت ها و کل شبکه ها را به خطر بیندازید. XSS ، به عنوان یک آسیب پذیری متوسط ، گامی در جهت رسیدن به هدف نهایی حمله است اما نمیتوان به فریب نهایت استفاده از آسیب پذیری XSS را برد .
این مثال نشان می دهد که چگونه یک مهاجم می تواند از XSS برای اجرای کد دلخواه در یک وب سرور هنگامی که وبمستر به طور ناخواسته محموله بارگذاری XSS مخفی شده را اجرا می کند استفاده کند. ابزارها و محموله های سفارشی ساخته شده در Metasploit Meterpreter با رویکردی کاملاً خودکار در زمان واقعی نشان داده خواهد شد ، از جمله سناریوهای عملیاتی و داده های جالبی که می توان از برنامه به خطر افتاده به دست آورد. نسخه شامل یک اعلان متفاوت و بردارهای جدید حمله است!
Installation
video :
این مثال نشان می دهد که چگونه یک مهاجم می تواند از XSS برای اجرای کد دلخواه در یک وب سرور هنگامی که وبمستر به طور ناخواسته محموله بارگذاری XSS مخفی شده را اجرا می کند استفاده کند. ابزارها و محموله های سفارشی ساخته شده در Metasploit Meterpreter با رویکردی کاملاً خودکار در زمان واقعی نشان داده خواهد شد ، از جمله سناریوهای عملیاتی و داده های جالبی که می توان از برنامه به خطر افتاده به دست آورد. نسخه شامل یک اعلان متفاوت و بردارهای جدید حمله است!
کد:
Requirements Python (2.7.*, version 2.7.11 was used for development and demo) Gnome Bash Msfconsole (accessible via environment variables) Netcat (nc) cURL (curl) [NEW] PyGame (apt-get install python-pygame) [NEW]
کد:
Ubuntu 16.04 Check that Python 2.7.* is in use with python -V. In my case, Python 2.7.12 is returned. Check that git has been installed. If you can't run the git command, then you need to: sudo apt-get install git Once you have git installed, which you can verify by running the git command, or git --version, which in my case returns 2.7.4, you can proceed to the next step. Run: git clone https://github.com/Varbaek/xsser and wait for it to finish. Run: cd xsser/ Run: python xsser.py If you get an error such as ImportError: No module named pygame, then execute the fol