Aquí les dejo un video donde muestran como atacar un posible XSS con una nueva herramienta de Metasploit: XSSF. XSSF es un Framework que corre adentro de Metasploit. Nos permite tratar con las víctimas de un ataque XSS y mantener enlace con ellos para futuros ataques. El video finaliza cuando se logra obtener acceso a la víctima del XSS. Recomiendo 100% el video:
Bueno, y en este video se muestra se hace un túnel XSS con la víctima,lo que permite al atacante usar el dominio vulnerable como si estuviera en lugar de la víctima. Para entender mejor vean el video:
Con estos 2 videos nos podemos dar cuenta del verdadero poder de un XSS, ya que es muy común creer que con un XSS solo se puede robar cookies. Con XSSF se nos abre una gamma mucho más amplia de lo que se puede hacer con un XSS.
Añadir XSSF a Metasploit
Añadir XSSF a Metasploit
- Descargamos XSSF.zip de la web oficial: XSSF.zip
- Descomprimimos las 4 carpetas que hay adentro (data, lib, modules, plugins) las pegamos en la carpteta msf3, en Windows generalemte es C:\Archivos de programa\Metasploit\Framework3\msf3.
- Partir la consola de Metasploit como siempre.
Más información en la web oficial: http://www.metasploit.com/redmine/issues/2995... Recordar que todavía no se agrega XSSF al actualizar Metasploit, pero tengo la fe que en posteriores versiones venga incluido.
[+] Salu2
[+] ZioneR
Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.
no me funciona :(
ResponderEliminarYa me funciono XD tenia que reiniciar el mSF
ResponderEliminarGracias !!!
MUY BUENO!!!
ResponderEliminarMe podrian pasar alguna pagina donde enseñaran como se majea un metasploit desde 0 ??
ResponderEliminarhttp://www.dragonjar.org/completo-curso-de-metasploit-en-video.xhtml
ResponderEliminarbuenisimo... otra utilidad mas a msf3 XD
ResponderEliminarno puedo agregarlo copio la carpeta XSSF a /opt/metasploit3/msf3 y depues que sigue
ResponderEliminaragradeseria me asesoraran gracias de antemano
@Anónimo
ResponderEliminarNo tienes que copiar la carpeta XSSF en /opt/metasploit3/msf3 tienes que descomprimirla ahí, osea que las carpetas data, lib, modules y plugins tienen que quedar en /opt/metasploit3/msf3
y acuérdate de ejecutarlo así desde el metasploit:
ResponderEliminarload XSSF
Con mayúsculas el xssf.
msf > load XSSF
ResponderEliminar[-] Failed to load plugin from /msf3/plugins/XSSF: uninitialized constant Msf::Xssf
------------------------------------------
alguna sugerencia plese please
msf > load XSSF
ResponderEliminar[-] Failed to load plugin from /msf3/plugins/XSSF: uninitialized constant Msf::Xssf
------------------------------------------
alguna sugerencia please....
Hice lo que decis y me dio
ResponderEliminarmsf > load XSSF
[-] The database backend has not been initialized ...
[*] Trying to use the default 'sqlite3' one ...
[-] Driver 'sqlite3' not found, please initialize database manually
[-] Failed to load plugin from C:/Archivos de programa/Rapid7/framework/msf3/plugins/XSSF: This plugin failed to load: Driver 'sqlite3' not found
Quiza sea porque es la version 3.6?
C:\Archivos de programa\Rapid7\framework\msf3
Alguna ayudita?
@Anónimo: Tienes problemas con la base de datos de MSF, arreglar el problema es muy complicado en Windows. En Windows yo opté por instalar a mano una base de datos PostGreSQL y después conectarme a ella...
ResponderEliminarEl problema se soluciona a veces desintalando e instalando el MSF...
[+] Salu2