压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

如何使用ppmap檢測和利用XSS漏洞

責編:gltian |2021-10-29 15:12:37

關于ppmap

ppmap是一款基于Go開發的漏洞掃描器/漏洞利用工具,該工具能夠通過在全局上下文中檢查特定變量來掃描、檢測和利用XSS漏洞。該工具目前只能利用已知Gadget(可能支持部分自定義開發的Gadget)中的安全問題,但不支持代碼分析或任何高級的漏洞掃描/利用方式。

工作流程

通過啟發式掃描確定網站是否容易受攻擊;

對已知小工具進行指紋識別(檢查全局上下文中的特定變量);

顯示最終的漏洞利用并準備執行XSS攻擊;

工具依賴

首先,我們需要確保已經正確安裝好了Chromium/Chrome:

sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list'
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
sudo apt-get update
sudo apt-get install google-chrome-stable

接下來,我們還需要安裝好chromedp

go get -u github.com/chromedp/chromedp

工具安裝

自動安裝

首先,點擊【這里】下載已編譯好的項目代碼。

接下來,切換到項目目錄下,給程序提供可執行權限:

chmod +x ppmap

手動安裝

首先,我們需要使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/kleiton0x00/ppmap.git

切換到項目目錄下:

cd ~/ppmap

使用下列命令構建項目代碼:

go build ppmap.go

工具使用

該工具的使用非常簡單,我們可以通過下列兩種方式執行簡單掃描:

1、掃描一個目錄/文件(或直接掃描網站本身):

echo 'https://target.com' | ./ppmap

2、掃描一個終端節點:

echo 'http://target.com/something/?page=home' | ./ppmap

大規模掃描

cat url.txt | ./ppmap

其中,url.txt為包含所有目標url地址的列表文件。

工具運行演示

項目地址

ppmap:GitHub傳送門

參考資料

https://msrkp.github.io/pp/2.html

https://ctf.nikitastupin.com/pp/known.html

https://grey-acoustics.surge.sh/

https://infosecwriteups.com/javascript-prototype-pollution-practice-of-finding-and-exploitation-f97284333b2

https://gist.github.com/nikitastupin/b3b64a9f8c0eb74ce37626860193eaec

轉載請注明來自FreeBuf.COM

上一篇:Windows惡意軟件BazarLoader分析

下一篇:偽裝成防病毒應用, 新型Android惡意軟件正在日本傳播