前言
Xerosploit 是一个渗透测试工具包,其目标是执行中间人攻击以进行测试。它带来了各种模块,可以实现高效的攻击,还可以进行拒绝服务攻击和端口扫描。由Bettercap和nmap提供支持。
依赖(使用kali的话不用管)
•nmap•hping3•build-essential•ruby-dev•libpcap-dev•libgmp3-dev•tabulate•terminaltables安装
git clone https://github.com/LionSec/xerosploitcd xerosploit && sudo python install.pysudo xerosploit
选择1进行安装
现在执行sudo Xerosploit会报错
sudo vim /opt/xerosploit/xerosploit.py 
提示替换30行即可
现在再次运行即可:
使用
查看命令:help
scan:映射您的网络。iface :手动设置您的网络接口。gateway:手动设置网关。start:跳过扫描并直接设置您的目标 IP 地址。rmlog :删除所有 xerosploit 日志。help :显示此帮助消息。exit : 关闭 Xerosploit。
扫描网络 直接输入scan即可
这里选择一个你要攻击的目标
回车后输入help查看命令
-
pscan : 端口扫描器。
-
dos : DoS 攻击。
-
ping : ping 请求。
-
injecthtml : 注入 Html 代码。
-
injectjs : 注入 Javascript 代码。
-
rdownload : 替换正在下载的文件。
-
sniff :捕获网络数据包内的信息。
-
dspoof : 将所有的 http 流量重定向到指定的一个 IP。
-
yplay : 在浏览器后台播放 YouTube 视频。
-
replace : 用你自己的图片替换所有网页图片。
-
driftnet:查看目标请求的所有图像。
-
move : Shaking Web Browser 内容。
-
deface : 用您自己的 HTML 替换每个网页。
端口扫描
这里扫描完成后,如果想更换其他模块需要输入back返回上一级
网页抖动
替换目标浏览器中的所有图像
效果:
嗅探
这里run运行后选择y等嗅探完成后再选择y保存 嗅探文件路径:/opt/xerosploit/xerosniff
HTML注入 首先准备一个自己的html文档
javascript注入
首先准备好自己的js文件
替换正在下载的文件
选择替换的类型是exe 选择要替换的文件我这里选的a.exe这个
这边从网页下载WeChat客户端,可以看到只有2.5Mb是我替换的文件
我这是个木马文件,对方运行后我这里就上线了
结语
其他的我就不试了,用兴趣的朋友可以试试
有问题请在评论区呼我!!!
原文始发于微信公众号(衡阳信安):Xerosploit 中间人攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论