Título: [python] Herramienta (bastante precaria) para XSS Publicado por: braulio-- en 7 Diciembre 2009, 17:27 pm Bueno, la he hecho esta mañana, os la pongo para que los que no sepan mucho vayan aprendiendo y ya la iré mejorando.
Lo que hace es que le pasas como argumento la página que quieres "XSSar" y va probando el payload que le hayas puesto en todos los inputs y te guarda los resultados. Es bastante inestable. Código
Le podéis modificar facilmente el user-agent y el payload. Uso : Código: python xss.py http://localhost/xss.php Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: WHK en 7 Diciembre 2009, 19:37 pm Lo agregué a la lista de los demás proyectos en el post recopilatorio ;)
Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 7 Diciembre 2009, 21:03 pm Código: python xss.py http://localhost/index.php algo anda mal o soy yo? :S Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: braulio-- en 7 Diciembre 2009, 21:21 pm Código: python xss.py http://localhost/index.php algo anda mal o soy yo? :S Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 7 Diciembre 2009, 22:21 pm ei braulio23!
no se si es a mi solo, pero la resolución de nombres no funciona del todo bien: -no funciona con "localhost" hay que poner "127.0.0.1". Por otra parte... la página que te guarda 0.html, que se supone que es? el formulario guardado o el supuesto resultado de la inyeccion del payload? Esque al abrirlo es tal cual el codigo en "html" de la web que introduje, pero claro... al tratarse de un .php solo obtiene ese código ( el html ), no se, algo falla braulio! jajaja :P Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: braulio-- en 7 Diciembre 2009, 23:01 pm A mi la resolución de nombres si me funciona.
El resultado 0.html es lo que devolvió la web cuando se mandaron las variables con los payloads. Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 7 Diciembre 2009, 23:30 pm y no debería devolver el alert que le metes en el payload ( por ejemplo ) por defecto?
es que me devuelve el formulario tal cual... Un saludo! Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: braulio-- en 7 Diciembre 2009, 23:38 pm Pero hiciste que ese formulario fuera vulnerable?
Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 8 Diciembre 2009, 00:32 am claro, si lo es, por si acaso te adjunto el codigo, pero que si, k si lo es xD
un saludo! pD: lo k se escribe en el 0.html es el codigo en html del index.php Código:
Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: braulio-- en 8 Diciembre 2009, 11:32 am Vale, no funciona por el método GET.
Cuando tenga tiempo lo implanto. Gracias por probarlo y lamento que no funcione. Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: ~ Yoya ~ en 8 Diciembre 2009, 18:38 pm Te recomendare eso:
Mayormente los formularios se envian por POST, algunos por GET claro, lo que puedes hacer es extraer mediante una exprecion regular y verificar como se envia la peticion en el Formulario luego con una condicional if, captura la rexep y con el if lo comparas y hases la peticion que tiene el formulario... Saludos. Otra cosa, esto no puede ser llamdo una herramienta, una herramienta es algo que te facilita hacer algo, en cambio aqui no te facilita mucho ya que tienes que editar tu code, y si no sabes python la jodes ps xD. Tampoco tienes una verificacion si todo se ah completado correctamente... podes hacer otra peticion con un javascript que escriba algo en el codigo de fuente y con una regexp puede verificar que ese algo exista. Saludos, todo es para mejorar. Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 9 Diciembre 2009, 00:48 am no tienes porque saber python, lo unico k tienes k modificar es el payload, que está codeado en javascript!
un saludo :D Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: ~ Yoya ~ en 9 Diciembre 2009, 15:24 pm haber, son recomendaciones, primero leer y luego responder una respuesta adecuada...
Saludos. Título: Re: [python] Herramienta (bastante precaria) para XSS Publicado por: tragantras en 9 Diciembre 2009, 20:40 pm haber, son recomendaciones, primero leer y luego responder una respuesta adecuada... Saludos. ñañañaña yo esk soy el defensor de braulio! jajaja :P por cierto "a ver" del verbo veeeer :D pd: con amor y sin odio, por cierto. |