本地搭建xss平台并获取cookie演练

已于 2024-02-29 22:33:14 修改
阅读量756 收藏 10
点赞数 6
文章标签: xss
于 2024-02-29 22:32:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80661529/article/details/136381945
版权

 前言

一般而言,搭建xss平台是不被允许的,但是由于教育的目的,搭建xss平台更能让学习者更加直观感受xss漏洞对我们的危害和它的重要性。

搭建xss平台

1.搭建xss平台的基础是在phpstudy一个集成环境上的,所有第一步要安装phpstudy(网上有教程就不演示了)

2.接着放出xss平台的源码

XSS平台项目名称:BlueLotus_XSSReceiver

作者:firesun(来自清华大学蓝莲花战队)

项目地址:https://github.com/trysec/BlueLotus_XSSReceiver

推荐原因:该xss平台是个人使用,而非多人使用,更加能满足自己的需求,并且安装简单。

安装过程:

下载phpstudy中的www目录下,phpstudy打开该网站

 安装之后,只需修改一些必要的数据,如下

注:密码一定要谨记,不要忘了

完成后访问该网站的login.php

注:之后打开该网站,可能出现白屏,不要慌张,访问index.php就可以了

xss平台的使用

实战获取cookie

访问公共模版中的default.js

修改右侧代码website一行括号内部分,格式为:'http://'+'/该站目录'+'/index.php'

该站目录即是上图URL中粗体部分,修改后,点击修改,以保存

然后进入'我得js',创建文件,此处我取名为cookie,然后点击插入模版,选择刚刚的default.js模版,务必要点击‘新增’保存文件

然后点击生成payload

复制后进入dvwa靶场实战(pikachu靶场也行,只要存在xss漏洞)进行实战

提交后,返回xss平台

右下角已经有提示了,然后点击左侧的接受面板即可查看到cookie。

但是

但是一般我们这个payload管理员一眼就看出来了,所有我们可以对payload进行编码,但是我试过了,下图的编码,只能把所有payload,我把所有编码的payload填入dvwa都未能得到cookie,也就是失效了。

 所以我们只能对payload部分进行编码

推荐网站:HTML字符实体转换,网页字符实体编码

然后替代编码前的payload部分,发现成功得到cookie,到此实战就结束了。

留言

眼看不如实操,自己动手可以加深理解!!!

祝你们学习顺利!!!

Yf3_te
关注
手把手教你搭建XSS平台
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
XSS跨站脚本攻击(DVWA XSS攻击详解、XSS平台搭建
tmzy1的博客
03-20 2150
XSS攻击、XSS平台搭建
web基础之XSS
最新发布
m0_74080781的博客
09-10 1105
突然想到一个问题,我刚才制作的攻击语句中的IP是本地的回环地址,所以如果我在虚拟机的靶场中测试攻击,那么我的蓝莲花平台是接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机中的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
使用win系统搭建自己的XSS平台
m0_48294281的博客
12-30 1760
最近研究xss平台,试着自己搭建了一个,并且成功运行,希望可以帮到跟我一样的小白。
Windows下XSS-labs+PHPStudy环境搭建
Z_dahan的博客
07-28 1989
0x00 XSS-labs 靶场原下载地址:https://github.com/lyshark/xss-labs 失效 转网盘下载:https://pan.baidu.com/s/1RsNU7Kmz9wpaUxDZNdMfxw提取码:r0k3 0x01 PHPStudy环境搭建 HPStudy下载:https://www.xp.cn/download.html 使用版本为PHPStudy2018 LiPHPStudy2018所需运行库:https://www.php.cn/xiazai/gongju/1
搭建xss-platform平台
qq_50854662的博客
05-16 5269
这篇更详细,对蓝莲花的XSS有更详细的说明 https://blog.csdn.net/weixin_50464560/article/details/115360092 https://bbs.secgeeker.net/thread-1519-1-1.html 搭建xss-platform平台 一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人...
逻辑漏洞挖掘之XSS漏洞原理分析及实战演练
yj520400的博客
03-22 1261
2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全意识。作为开篇第一章,本文选取了广为熟知的XSS逻辑漏洞进行介绍。1.XSS漏洞的定义跨站脚本(Cross Site Script),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本缩写为XSS
XSS搭建教程以及源码,,免费分享给大家
10-13
在这个XSS搭建教程中,我们将深入探讨XSS攻击的原理、类型、防范措施,并提供实际的源码示例,帮助你更好地理解和防御这种攻击。 1. XSS攻击的分类: XSS攻击主要分为三种类型:存储型XSS、反射型XSS和DOM型XSS。...
xss-platform-master.zip
04-21
XSS平台详解:深入理解Web安全中的跨站脚本攻击》 在互联网技术日新月异的今天,Web应用程序的安全问题愈发引人关注。其中,XSS(Cross-Site Scripting,跨站脚本攻击)是Web应用最常见的安全漏洞之一。"xss-...
XSS应急预案(已完成)
08-17
* 演练应急预案演发方式:模拟 XSS 攻击造成的 web 服务的故障、模拟上报过程及应急预案的申请、现场演练。 此预案的制定旨在确保网站业务和客户信息的安全,防止 XSS 攻击对网站业务和客户的影响。在网站遭受 XSS ...
XSS测试平台——BlueLotus(Windows系统)下载与安装
edsion4的博客
12-08 3053
XSS测试平台——BlueLotus(Windows系统)下载与安装
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 4078
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3214
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
存储xss实现获取cookie(本地实战)
2301_80661529的博客
02-28 640
实战结束留言:如果你拥有自己的网站以及服务器,本地实战就在你自己的服务器上实战即可,不过此处的IP地址也要跟着变化,不变化其实也行,但是改了更有实战的感觉,然后进入dvwa靶场(security=low),(stored xss)那关,留言写入如下payload。然后到我们写的xss.php文件的目录下,会有一个cookie.txt文件,上面就会记录cookie及其IP。在此祝你们学习顺利!
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 6327
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
XSS平台搭建及后台使用cookie获取
2302_79885863的博客
04-12 1524
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
网安复现系列:phpStudy 小皮 Windows/Linux 面板 XSS到RCE漏洞
weixin_54626591的博客
05-06 214
phpStudy 小皮 Windows/Linux 面板 XSS到RCE漏洞
手把手教你搭建个人XSS平台,用着更安心!
hackzkaq的博客
07-07 2130
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 本文来源:http://33h.co/27d14 一、 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践 上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性 所以决定自行搭建XSS平台做学习之用。 1. 什么是XSS平台 XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说X
Django搭建简易XSS平台环境配置与脚本工作原理
本文档主要介绍了如何使用Django框架构建一个简单的XSS平台,包括XSS攻击的基本原理、利用方法以及在Django环境中实施的具体步骤。作者强调了在编写代码前需要准备的工具和环境,如Python 3.7.0、PyCharm、Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值