Hi Community,
heute zeige und erkläre ich euch wie so ein XSS aussieht und wie man damit Shells uppen kann !
Dafür benötigen wir erstma eine vulnerability Seite..Jedoch muss diese eine „Post Funktion“ haben,dass kann Beispiel Weise ein Social Network sein oder ein Forum.
Um klar festzustellen,ob XSS auch möglich ist,könnt ihr bei der „Suchfunktion“ :
<script>alert(‚text‘)</script> eingeben..Statt „Text“ könnt ihr natürlich das eingeben was ihr wollt .lol
Und ebenso könnt ihr auch statt (“ ‚ ‚ „) zwei Gänsefüßchen machen („“).
Wenn jetzt eine Javascript Meldung mit dem bestimtmen Text erscheint,heißt dies,dass die Seite vulnerability ist.Jedoch solltet ihr wissen,dass man mit einer losen Suchfunktion nichts anfangen kann !
Dafür schauen wir uns erstmal die Seite an und gucken,ob man dort auch posten kann.
z.B bei Foren..ein Thread erstellen oder was auch immer !
So kommen wir zum Shell uppen ..
Was können wir mit sonem XSS Shell anfangen ?!
Solch ein Shell bietet euch die Möglichkeit mit Victims :
Features:
Regenerating Pages
Keylogger
Mouse Logger (click points + current DOM)
Built-in Commands:
Get Keylogger Data
Get Current Page (Current rendered DOM / like screenshot)
Get Cookie
Execute supplied javaScript (eval)
Get Clipboard (IE only)
Get internal IP address (Firefox + JVM only)
Check victim’s visited URL history
DDoS
Force to Crash victim’s browser
Online URL (Download, Screenshots, demo etc.):
anzustellen..Das ist eine Menge und macht auch Spaß,auch wenn sich das schwer anhört ist es recht leicht !
Dafür benötigen wir eine Space,die „ASP.Net“ unterstützt.
z.B 7host.com ~ Legt euch dort eine Space . Wie man sowas macht,erkläre ich euch definitiv nicht ! Denn sonst seit ihr hier net richtig ..
So,wenn ihr soweit seit,müsst ihr dies HIER runterladen und auf dem Server uploaden .
So das wars auch schon..
Aber wie können wir nun den Shell mit der Seite einbinden/einschleusen ?
Um das zu machen,braucht ihr diesen Script :
Denn wenn die Victims sich euren Post anschauen wollen,sehen sie nur “ „> Und hier dein TEXT“
Somit haben wir es geschafft mithilfe XSS und Shell Vics zu bekommen ! Wuhu
So,aber was können wir noch machen ?
Shell uploaden,Scripts blablabla hört sich schön an,aber was kann man denn noch damit anfangen ?
Du kannst alle HTML Codes anwenden..Z.B <body style=“background-color:red“> & HTML Weiterleitung & Java Drive By …oder was auch immer.
So das wars auch schon !
(C) Some0ne ~ Alrights Reserved by me ! True Mark and co.
LG
![[TUT] XSS / XSSShell](https://blog.yakuza112.org/wp-content/uploads/avatar-90x60.png){kind=avatar}
