用shell脚本批量进行xss跨站攻击请求

由于执行的xss攻击请求他多了,初步估计要执行83次,而且还要执行3篇,如果手工一个一个去执行,说出去,我还配叫自动化大师吗;

有鉴于此,边打算自己编写一个脚本进行批量执行;

而短脚本的编写,非shell莫属,想到做到;

首先附上xss跨站攻击的请求报文:

POST /web/show.asp?id=1327 HTTP/1.1
Host: 192.168.26.xxx
Connection: close
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
Content-Type: application/json
Content-Length: 25
{
    "11111": " onabort ="
}

将onabort换成如下攻击特征:
onactivate
onafterprint
onbeforeactivate
onbeforeprint
onbeforeunload
onblur
oncancel
oncanplaythrough
oncanplay
onchange
onclick
oncontextmenu
oncopy
oncuechange
oncut
ondblclick
ondragdrop
ondragend
ondragenter
ondragleave
ondragover
ondragstart
ondrag
ondrop
ondurationchange
onemptied
onended
onerror
onfocus
onformchange
onforminput
onhashchange
oninput
oninvalid
onkeydown
onkeypress
onkeyup
onloadeddata
onloadedmetadata
onloadstart
onload
onmessage
onmousedown
onmouseenter
onmouseleave
onmousemove
onmouseout
onmouseover
onmouseup
onmousewheel
onmove
onoffline
ononline
onpagehide
onpageshow
onpaste
onpause
onplaying
onplay
onpopstate
onprogress
onpropertychange
onratechange
onreadystatechange
onreset
onresize
onscroll
onsearch
onseeked
onseeking
onselect
onshow
onstalled
onstart
onstorage
onsubmit
onsuspend
ontimeupdate
ontoggle
onunload
onvolumechange
onwaiting
onwheel

看到没有如果一个一个执行,我的天,这要猴年马月才能搞完!

话不多说,附上shlle脚本代码:

#!/bin/bash
echo "循环开始开始执行"
for j in $(cat rules3.txt)
do

echo " 注意的是,json数据里变量要用 ‘‘ 括起"
 # curl complete post json post 请求
 # curl -i -X POST -H "‘Content-type‘:‘application/x-www-form-urlencoded‘, ‘charset‘:‘utf-8‘, ‘Accept‘: ‘text/plain‘" -d ‘json_data={...}‘ url
 curl -i -X POST -H "‘Content-type‘:‘application/json‘" -d  $j  http://192.168.26.213/

done
echo "循环结束"

其中rules3.txt文件内容为:

‘json_data={"11111":"onactivate"}‘/
‘json_data={"11111":"onafterprint="}‘/
‘json_data={"11111":"onbeforeactivate ="}‘/
‘json_data={"11111":"onbeforeunload="}‘/
‘json_data={"11111":"onblur="}‘/
‘json_data={"11111":"oncancel="}‘/
‘json_data={"11111":"oncanplaythrough="}‘/
‘json_data={"11111":"oncanplay="}‘/
‘json_data={"11111":"onchange="}‘/
‘json_data={"11111":"onclick="}‘/
‘json_data={"11111":"oncontextmenu="}‘/
‘json_data={"11111":"oncopy="}‘/
‘json_data={"11111":"oncuechange="}‘/
‘json_data={"11111":"oncut="}‘/
‘json_data={"11111":"ondblclick="}‘/
‘json_data={"11111":"ondragdrop="}‘/
‘json_data={"11111":"ondragend="}‘/
‘json_data={"11111":"onondragenter="}‘/
‘json_data={"11111":"ondragleave="}‘/
‘json_data={"11111":"ondragstart="}‘/
‘json_data={"11111":"ondrag="}‘/
‘json_data={"11111":"ondrop="}‘/
‘json_data={"11111":"ondurationchange="}‘/
‘json_data={"11111":"onemptied="}‘/
‘json_data={"11111":"onerror="}‘/
‘json_data={"11111":"onfocus="}‘/
‘json_data={"11111":"onformchange="}‘/
‘json_data={"11111":"onforminput="}‘/
‘json_data={"11111":"onhashchange="}‘/
‘json_data={"11111":"oninput="}‘/
‘json_data={"11111":"onkeydown="}‘/
‘json_data={"11111":"onkeypress="}‘/
‘json_data={"11111":"onkeyup="}‘/
‘json_data={"11111":"onloadeddata="}‘/
‘json_data={"11111":"onloadedmetadata="}‘/
‘json_data={"11111":"onloadstart="}‘/
‘json_data={"11111":"onload="}‘/
‘json_data={"11111":"onmessage="}‘/
‘json_data={"11111":"onmousedown="}‘/
‘json_data={"11111":"onmouseenter="}‘/
‘json_data={"11111":"onmouseleave="}‘/
‘json_data={"11111":"onmousemove="}‘/
‘json_data={"11111":"onmouseout="}‘/
‘json_data={"11111":"onmouseover="}‘/
‘json_data={"11111":"onmousewheel="}‘/
‘json_data={"11111":"onmove="}‘/
‘json_data={"11111":"onoffline="}‘/
‘json_data={"11111":"ononline="}‘/
‘json_data={"11111":"onpagehide="}‘/
‘json_data={"11111":"onpageshow="}‘/
‘json_data={"11111":"onpaste="}‘/
‘json_data={"11111":"onpause="}‘/
‘json_data={"11111":"onplaying="}‘/
‘json_data={"11111":"onplay="}‘/
‘json_data={"11111":"onpopstate="}‘/
‘json_data={"11111":"onprogress="}‘/
‘json_data={"11111":"onpropertychange="}‘/
‘json_data={"11111":"onreset="}‘/
‘json_data={"11111":"onresize="}‘/
‘json_data={"11111":"onscroll="}‘/
‘json_data={"11111":"onsearch="}‘/
‘json_data={"11111":"onseeked="}‘/
‘json_data={"11111":"onseeking="}‘/
‘json_data={"11111":"onselect="}‘/
‘json_data={"11111":"onshow="}‘/
‘json_data={"11111":"onstalled="}‘/
‘json_data={"11111":"onstart="}‘/
‘json_data={"11111":"onstorage="}‘/
‘json_data={"11111":"onsubmit="}‘/
‘json_data={"11111":"onsuspend="}‘/
‘json_data={"11111":"ontimeupdate="}‘/
‘json_data={"11111":"ontoggle="}‘/
‘json_data={"11111":"onunload="}‘/
‘json_data={"11111":"onvolumechange="}‘/
‘json_data={"11111":"onwaiting="}‘/
‘json_data={"11111":"onwheel="}‘/
‘json_data={"11111":"onbeforeprint"}‘/
‘json_data={"11111":"onbeforeactivate ="}‘/
‘json_data={"11111":"onended"}‘/
‘json_data={"11111":"oninvalid"}‘/
‘json_data={"11111":"onmouseup"}‘/
‘json_data={"11111":"ondratechange"}‘/
‘json_data={"11111":"onreadystatechange"}‘/

注意

curl -i -X POST -H "‘Content-type:‘application/json‘" -d " {‘xxx‘:‘sss‘}" url

结果为:

改成这个格式后:

curl -i -X POST -H "‘Content-type‘:‘application/x-www-form-urlencoded‘, ‘charset‘:‘utf-8‘, ‘Accept‘: ‘text/plain‘" -d ‘json_data={...}‘ url

想拥有阿里云服务器的可以登陆此网站哦:https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=qqwovx6h

原文地址:https://www.cnblogs.com/gufengchen/p/11370184.html

时间: 2024-10-17 23:15:54

用shell脚本批量进行xss跨站攻击请求的相关文章

漫话web渗透 : xss跨站攻击day1

1.1什么是XSS跨站攻击 xss攻击并不是对服务器进行攻击,而是借助网站进行传播,攻击者精心构造的一个URL,欺骗受害者打开从而使恶意脚本在受害者计算机中悄悄运行1.2XSS实例 首先我们看一个简单的xss实例 <html> <head>this is a xss test</head> <body> <script>alert("xss")</script> </body> </html>

web安全性测试——XSS跨站攻击

1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种.其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本.这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本. 一个永远关不掉的窗口while (true) { alert("你关不掉我~"); } CSRF:跨站请求伪造(Cross-site request

XSS(跨站攻击)

XSS:跨站攻击防御的方法(PHP) 1.转义/编码 htmlspecialchars() 2.过滤 strip_tags() 3.CSP(Content Security Policy) 4.第三方库 (1)HTMLPurifier (2)htmLawed (3)Zend_Filter_Input

PHP 防XSS跨站攻击

//防止跨站攻击static public function removeXss($val){ $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val); $search = 'abcdefghijklmnopqrstuvwxyz'; $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $search .= '[email protected]#$%^&*()'; $search .

xss跨站攻击测试代码

'><script>alert(document.cookie)</script> ='><script>alert(document.cookie)</script> <script>alert(document.cookie)</script> <script>alert(vulnerable)</script> %3Cscript%3Ealert('XSS')%3C/script%3E <

DDOS、CC、sql注入,跨站攻击防御方法

web安全常见攻击解读--DDos.cc.sql注入.xss.CSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 http://nic.swu.edu.cn/s/nic/thyt/20180604/2555404.html 1.1 DDos介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”.分布式拒绝服务攻击发起后,攻击网络包就会从很多DOS攻击源(俗称

总结 XSS 与 CSRF 两种跨站攻击

在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式.在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了.但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们.由于之前已经对 XSS 很熟悉了,所以我对用户输入的数据一直非常小心.如果输入的时候没有经过 Tidy 之类的过滤,我一定会在模板输出时候全部转义.所以个人感觉,要避免 XSS 也是很容易的,重点是要“小心”.但最近又听说了另一种跨站攻击 CS

XSS与CSRF两种跨站攻击总结

在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式.在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了.但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们.由于之前已经对 XSS 很熟悉了,所以我对用户输入的数据一直非常小心.如果输入的时候没有经过 Tidy 之类的过滤,我一定会在模板输出时候全部转义.所以个人感觉,要避免 XSS 也是很容易的,重点是要“小心”.但最近又听说了另一种跨站攻击 CS

修复XSS跨站漏洞

XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤. 1.输入与输出 在HTML中,<,>,",',&都有比较特殊的意义.HTML标签,属性就是由这几个符合组成的.PHP中提供了 htmlspecialchars().htmlentities()函数可以把一些预定的字符转换为HTML实体. &成为& "成为" '成为' <成为< 成为> 2.HttpOnly HttpOnly对防御XSS漏洞不起作用,主要是为了解决XS