A-A+

XSS漏洞攻击测试平台—XSSF v3.0

2014年04月26日 渗透测试 暂无评论 阅读 4,362 次

XSSF是一款XSS漏洞测试平台,该产品可以把XSS漏洞的真实危害暴露出来。这个产品为教学、渗透测试和合法的研究服务。

metasploit

XSSF通过XSS漏洞与目标浏览器建立连接进行更加深入的攻击利用测试。XSSF提供强大的API库,并且集成于Metasploit渗透测试框架中。

Windows安装XSSF模块

下载安装Metasploit windows免费版:

http://downloads.metasploit.com/data/releases/metasploit-latest-windows-installer.exe

安装完成后将下xssf源码放到Metasploit安装目录msf3下,同样将XSSF文件夹中的data、lib、modules、plugins与msf3下的文件夹合并即可。

下载xssf源代码:选择最新的3.0下载,下载地址(https://code.google.com/p/xssf/downloads/list

运行metasploit客户端,加载xssf模块:msf > load xssf

提供一个测试平台:XSS Platform 

顺便附带BackTrack 5 Metasploit更新方法

虚拟机运行BackTrack5 r3在更新Metasploit时卡在pg-0.15.1,升级报错无法正常升级。原因是msf并没有用BT5内置的Ruby,而是利用自带的Ruby版本为1.9.1,已经很古老了……所以升级系统的Ruby版本也会无济于事,但是按照下面的步骤更新,即可将msf更新到最新。

解决办法:

  1. #cd /opt/metasploit/
  2. #rm -rf msf3
  3. #git clone --depth=1 git://github.com/rapid7/metasploit-framework msf3

找到以下文件打开(注:32位、64位)

  1. /opt/metasploit/ruby/lib/ruby/1.9.1/i686-linux/rbconfig.rb
  2. /opt/metasploit/ruby/lib/ruby/1.9.1/x86_64-linux/rbconfig.rb

然后再找到:

  1. CONFIG["LIBRUBYARG_STATIC"] = "-Wl,-R -Wl,$(libdir) -L$(libdir) -l$(RUBY_SO_NAME)-static"

修改为:

  1. CONFIG["LIBRUBYARG_STATIC"] = "-Wl,-R -Wl,$(libdir) -L$(libdir) "

然后切换至/opt/metasploit/msf3再运行/opt/metasploit/ruby/bin/bundle install

最后msfupdate!

给我留言