#今天看到这篇文章《论如何反击用AWVS的黑客》:
tags: #姿势#,
今天看到这篇文章《论如何反击用AWVS的黑客》:
论如何反击用AWVS的黑客+-+FreeBuf.COM+|+关注黑客与极客
思路是经典的,本质是 AWVS 内置的浏览器解析引擎会执行我们自定义好的 JavaScript。然后大家可以再看看 BeEF 里的路由器攻击插件集:
beef/modules/exploits/router/
这里有一堆路由器的 CSRF 利用插件。
如果你在自己的页面(比如自己的博客)挂上这些插件利用,哪天有人不小心访问你的页面,那么他们用的路由器就可能被 CSRF 利用,然后中招,比如有命令执行的,可以反弹出 MSF 利用。
去年我办的 TOBEAHACKER 培训,我分享了一个国产路由器 0day 利用,也是此道理。未来会考虑公布完整的挖掘与分析利用全过程。