JShell – 使用XSS获取JavaScript shell

VSole2023-09-06 14:18:32

JShell介绍

JShell是一个使用XSS获取JavaScript shell的脚本，基于python。

JShell安装与使用

# 下载$ git clone https://github.com/s0md3v/JShell.git
# 使用$ python shell.py

JShell将自动尝试检测您的IP地址，默认端口为33。

生成payload后使用，你将通过netcat获得一个JS shell，只要注入的页面打开，你就可以在受害者的浏览器中执行你的JavaScript代码。

javascriptshell

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

JShell – 使用XSS获取JavaScript shell

2023-09-06 14:18:32

JShell是一个使用XSS获取JavaScript shell的脚本，基于python。

数据库安全之MongoDB渗透

2021-07-04 17:02:02

本篇文章是MongoDB数据库信息泄露漏洞复现，记录了实际中常见的MongoDB数据库未授权访问漏洞并如何使用，主要分为七个部分：MongoDB简介、MongoDB安装、MongoDB基本操作、MongoDB相关工具使用、MongoDB漏洞复现、MongoDB实战和MongoDB防御措施。

渗透测试—提权方式总结

2022-01-14 22:39:00

提权就是通过各种办法和漏洞，提高自己在服务器中的权限，以便控制全局。Windows：User >> SystemLinux：User >> Root二、怎样进行提权1.、系统漏洞提权。

APT---典型APT攻击的案例

2021-12-26 22:28:03

病毒很有耐心的逐步扩散，一点一点的进行破坏。Duqu主要收集工业控制系统的情报数据和资产信息，为攻击者提供下一步攻击的必要信息。夜龙攻击夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。

渗透技巧总结

2022-01-28 21:33:52

声明以下技巧不应用于非法用途Tips 1. 手动端口探测nmap的-sV可以探测出服务版本，但有些情况下必须手动探测去验证使用Wireshark获取响应包未免大材小用，可通过nc简单判断eg.对于8001端口，nc连接上去，随便输入一个字符串，

二进制程序分析

2021-09-25 17:18:46

分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件，研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。这包含应用释放或者从互联网下下载的文件，写入什么样的注册表、访问了什么网络地址，修改读写本地的什么文件等等。那么研究人员通过行为会确定恶意样本的类型。通常类型如下：

Electron_shell：一款功能强大且隐蔽性极强的远程访问红队工具

2023-11-15 16:29:23

Electron_shell是一款功能强大且隐蔽性极强的远程访问红队工具，该工具基于JavaScript语言开发，专为红队研究人员设计，可以利用Electron的功能来实现命令注入，并实现了其他的远程控制方法。

JavaScript原型链污染学习记录

2023-05-06 14:45:24

而可以上升到所有对象共享这个属性，而这个属性的实体在内存中也仅仅只有一份。而原型机制恰好满足这种需求。打个不太恰当的比喻，对于每个对象，都有其原型对象作为共享仓库，共享仓库中有属性和方法供生产每个对象实例时使用1> 原型链和继承?原型链原型链是在原型上实现继承的一种形式举个例子:function?优化判断是否为同一对象，是则直接返回

VSole

网络安全专家