XSS窃取cookie以及XSSflash攻击钓鱼

最新推荐文章于 2024-08-26 17:48:50 发布
最新推荐文章于 2024-08-26 17:48:50 发布
阅读量351 收藏 3
点赞数 3
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C233333235/article/details/140643763
版权

一.XSS窃取cookie

1.在xssaq中创建项目

2.点开我的项目,将配置代码运行到pikachu盲打中

3.登陆后台时,可以在xss中看到cookie信息

二.XSS-flash攻击钓鱼

1.找到xss网站中公共模块,复制flash钓鱼的代码,复制到一个js文件中,修改第一个trigger中的网站链接为自己想要他跳转到的页面上,并放到网站根目录

2.下载github上的新伪造flash页面,放在网站根目录下,并将index.html文件中立即下载一行中的文件名称改为真实的flash安装包名称 

https://github.com/crow821/crowsec/tree/master/crowsec_FakeFlash

3.到kali中利用msfconsole生成一个木马,移到物理机网站根目录

4.将下载的flash安装包与shell文件压缩到一起,压缩后的文件名称要与index.html文件中的安装包文件相同

5.更换压缩后的文件的图标使其看起来更真实,使用ResourceHacker 软件

下载地址:https://www.onlinedown.net/soft/12420.htm

6.在pikachuxss盲打中输入使其弹出js框的语句,就可以模拟受害者了

7.当用户登陆后台查看信息时,就会弹到js文件页面--一个假的flash警告页面

8.点击立即升级,就会进入一个我们伪造的一个flash下载页面

9.点击立即下载就会下载我们做的shell与flash安装包拼到一起的一个exe文件,下载后双击软件就会运行shell文件,我们就可以到kali中用msfconsole监听并操控物理机

Atopos`
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】XSSCookie外带攻击姿势及例题详析
等风来
05-19 7169
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
xss漏洞测试(cookie窃取和利用,钓鱼,键盘记录)
qq_43814486的博客
05-03 3982
cookie窃取和利用
xss平台获取管理员cookie xss flash钓鱼拿到主机控制权
weixin_71053667的博客
07-23 398
点击"设置"--"解压后运行"如下两行内容...并在"模式"标签下设置"全部隐藏" 配置更新方式----解压并更新文件而覆盖方式----覆盖所有文件。5.将两个文件一块压缩并更改文件名为"flashcenter_pp_ax_install_cn.exe",点击"高级"标签页下的"自解压选项"填。3.来到xss平台 点击公共模块---flash弹窗钓鱼-查看 将其中的代码保存成一个js文件放到我们网站的根目录下面。4.模拟管理员登录后台的操作 登录完成后触发我们插入的恶意代码。# Flash官网下载。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1815
XSS漏洞是一种跨站脚本攻击攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1483
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
利用XSS获取cookie
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7207
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
web--xss:web安全之xss攻击、以及如何防范
05-18
5. HTTP-only Cookie:将敏感的Cookie标记为HTTP-only,这样JavaScript就无法访问,降低了通过XSS攻击窃取Cookie的风险。 6. 使用最新技术和最佳实践:保持框架和库的更新,利用它们提供的安全特性,如防止XSS的库...
XSS跨站脚本攻击课件
11-24
当用户访问这些含有恶意脚本的页面时,浏览器会无差别地执行其中的代码,允许攻击者读取用户的Cookie、Session Tokens等敏感信息,甚至篡改页面内容,执行钓鱼、身份冒充等恶意行为。 **XSS注入分类** 1. **反射型...
pikachu-XSS(跨站脚本攻击
a1245678899的博客
11-09 1136
XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容 被当成正常的HTML来执行(类似于SQL注入),从而产生危害。造成DOM型XSS的原因是前端的输入被DOM给获取到了,通过DOM又在前端输出,跟反射型和存储型比起来,它是不经过后台交互的。存储型XSS和反射型XSS形成的原因是一样的,不同的是存储型XSS攻击者的可以将脚本注入到后台存储起来,构成更加持久的危害。编码,后台过滤了特殊字符,比如标签,但该标签可以被各种编码,后台不一定过。
xss权限维持(小技巧)
weixin_44110913的博客
08-04 864
xss权限维持 打开xss平台 创建打cookie的payload,默认的即可 复制xss代码 打开中国蚁剑连接webshell 将xss复制到登陆后的页面保存 为什么要复制到登陆后?因为受害者登陆后会产生cookie,从而每一次xss平台都能收到cookies 现在假设管理人员登陆到后台 当跳转到登陆后的页面index.php后 我们的xss便起效了,并且收到了cookie 此后,只要他每次登陆我们都可看到cookie,也就是每次都具有权限登陆。 这种攻击类型杀毒是不会的,只有
【安全】P 4-2 XSS盗取cookie
Z_David_Z的博客
02-17 453
目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除 服务器可
XSS攻击——cookie
qq_46277212的博客
06-23 1907
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
跨站脚本攻击XSS 获取cookie (low)
weixin_44901204的博客
08-04 3639
XSS 跨站脚本攻击(Cross-site scripting),简称XSS(为区分CSS),它是一种迫使 Web 站点回显可执行代码的攻击技术。 XSS分为存储型XSS(Stored XSS)和反射型XSS(Reflected XSS) 存储型XSS 思路: 黑客在服务器的某一个留言板上留言了一条可以执行的语句(这是一条命令),这条语句上有黑客的IP地址,普通用户去访问这个网站,一旦打开了留言板...
XSS获取Cookie过程简单演示
热门推荐
qq_36609913的博客
01-15 2万+
XSS: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行 实例: 打开
漏洞复现篇——利用XSS漏洞获取cookie
爱国小白帽
02-20 3036
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场
pikachu靶场通关攻略(XSS)(1~10关)
2301_81881972的博客
08-22 703
结果显示1我们破成功。
【第54课】XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
最新发布
Lucker_YYY的博客
08-26 348
盲打:完全黑盒测试,不知道哪些地方存在XSS,直接能插XSS的地方都插入试试)cookie盗取:盗取用户浏览器cookie(凭据)对session(会话)、jwt(令牌)等身份验证技术没有效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值