Iniezione codice HTML e Javascript con Xerosploit

Luca Cicchinelli/ gennaio 4, 2017/ Hacking, Linux/ 2 comments

Utilizzando Kali LinuxXerosploit – un progetto opensource – vedremo come iniettare codice HTML e Javascript nel browser di un dispositivo connesso alla nostra rete locale.

Diamo per scontato abbiate già una copia di Kali installata da qualche parte, nel caso in cui non fosse così potete usufruire della guida ufficiale.

Kali Linux è una distribuzione basata su Debian GNU/Linux, pensata per l’informatica forense e la sicurezza informatica, in particolare per effettuare penetration test. È creata e gestita dal gruppo Offensive Security. È considerato il successore di Backtrack.

Come installare Xerosploit

Per installare Xerosploit dobbiamo, innanzitutto, clonare il progetto di GitHub.

Apriamo il terminale e digitiamo:

git clone https://github.com/LionSec/xerosploit.git

[ Xerosploit ] git clone

Ora spostiamoci nella cartella di xerosploit:

cd xerosploit

[ Xerosploit ] cd xerosploit

Avviamo l’installer utilizzando:

python install.py

[ Xerosploit ] install.py

Quando l’installazione sarà terminata ci basterà digitare xerosploit per avviare il tool.

[ Xerosploit ] installed

Come utilizzare Xerosploit

Dopo averlo avviato, dobbiamo eseguire una scansione dei dispositivi connessi alla rete, utilizzando:

scan

[ Xerosploit ] scan

Ora che abbiamo la lista dei dispositivi ed i rispettivi IP, dobbiamo inserire l’indirizzo IP del dispositivo su cui vogliamo eseguire l’iniezione.

Io effettuerò l’iniezione sul mio lentissimo ed indistruttibile Huawei Y635.

[ Xerosploit ] target

Iniezione codice HTML

Per iniettare del codice HTML avremmo bisogno, naturalmente, di un file html.

Dopo aver scelto il target dell’iniezione ed aver creato il file html, digitiamo:

injecthtml

Dopo aver selezionato il modulo per l’iniezione HTML:

run

Infine trasciniamo il file all’interno del terminale, così che venga incollato il suo percorso.

[ Xerosploit ] injecthtml

Quando il dispositivo vittima utilizzerà il browser, verrà iniettato – in ogni pagina visitata – il codice HTML inserito in precedenza.

[ Xerosploit ] injected html

Iniezione codice Javascript

Per iniettare codice Javascript avremmo bisogno di un file js.

Se abbiamo appena terminato di utilizzare l’iniezione HTML, il modulo selezionato sarà ancora injecthtml.

Per tornare alla scelta dei moduli possiamo usufruire del comando:

back

Ora selezioniamo il modulo per l’iniezione JS:

injectjs

Digitiamo:

run

Poi trasciniamo il file js all’interno del terminale.

[ Xerosploit ] injectjs

Ed ecco, sul dispositivo android, spawnare l’alert che abbiamo iniettato:

[ Xerosploit ] injected js

Conclusione

Il fine di HOWORKS è quello di informare, non mi assumo nessuna responsabilità dell’uso che farete delle informazioni contenute in questo articolo.
Per qualsiasi dubbio potete contattarci utilizzando i commenti o le nostre pagine social.

2 Comments

  1. ciao ho fatto come te però quando trascino il file e premo invio mi da degli errori e non succede nulla

    1. Segnala il problema sul progetto di GitHub: [x].

Facci sapere cosa ne pensi con un commento!