[How-To]Metasploit && XSSF – Cross-Site Scripting Framework v.2.1

Posted on: 30 June 2011

The Cross-Site Scripting Framework (XSSF) is a security tool designed to turn the XSS vulnerability exploitation task into a much easier work. The XSSF project aims to demonstrate the real dangers of XSS vulnerabilities, vulgarizing their exploitation.

XSSF è un modulo/plugin che permette di comunicare con il browser vittima sfruttando un XSS o qualsiasi altra cosa per iniettare un js nelle sue pagine, proxy etc XD.

XSSF è molto simile al noto beef.

XSSF essendo un plugin di metasploit, sfrutta molto bene la sua potenza.

Vediamo come usarlo su backbox :D

Come prima cosa andiamo nella directory di metasploit e scarichiamo xssf.
cd /WHERE_IS_METAPLOIT
svn checkout http://xssf.googlecode.com/svn/trunk/ xssf

cp -R xssf/*

Prima di avviare metasploit, dobbiamo avere un database per xssf ad esempio vediamo come installare postgresql :P

sudo apt-get install postgresql ruby-dev libpq-dev

sudo su postgres

createuser backbox -P
Diamoli i permessi giusti :)

createdb --owner=backbox metasploit3
exit

sudo gem install postgres

Ora apriamo metasploit:
sudo ruby1.9.1 msfconsole

Per XSSF è richiesta la versione di ruby > = 1.9
Una volta aperto metasploit carichiamo il driver :

db_driver postgresql

Connettiamoci al db :)
db_connect backbox:password@127.0.0.1:5432/metasploit3

Una volta avviato il tutto carichiamo xssf:
load xssf
ok adesso per aprire la guida digitiamo:
xssf_help

OK ora il tutto è molto semplice e intuitivo :)

Ecco comunque alcuni video illustrativi:
http://www.youtube.com/user/X0x1RG9f

Buon divertimento :D

This entry was posted on Thursday, June 30th, 2011 at 8:50 am and is filed under GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.