渗透新手福利---xss到获取cookie入门级

最新推荐文章于 2024-07-23 21:38:08 发布
最新推荐文章于 2024-07-23 21:38:08 发布
阅读量407 收藏
点赞数
分类专栏: 安全 网络 渗透测试 文章标签: 网络安全 渗透测试 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/118635429
版权
本文为渗透测试新手提供了一次存储型XSS攻击的入门级实践,详细介绍了如何通过XSS获取Cookie的过程。首先,通过尝试不同位置插入弹窗JS来确认XSS漏洞存在。接着,利用XSS平台创建项目,选择适当模块,并将脚本插入到可执行的位置。成功执行后,通过XSS平台捕获到管理员的Cookie,最后使用Burp Suite抓包并替换Cookie,实现无账号密码登录。
摘要由CSDN通过智能技术生成

在这里插入图片描述

CV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量
在这里插入图片描述
通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)

既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入
在这里插入图片描述
把能插的地方都放了一遍因为我们不知道哪里可以插入成功

然后提交
在这里插入图片描述
弹窗说明我们插入成功右击审查元素看看是哪里提交成功了
在这里插入图片描述
这里执行了我们的js脚本
接下来我们用xss平台获取他的cookie

点击创建项目然后我们把他命名为H描述可以不填然后点击下一步

最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 1893
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
2021-09-01 网安实验-XSS-存储型XSS获取用户cookie
热门推荐
时光隧道
09-02 4万+
一:存储型XSS 1.保存用户cookie 我们可以通过JS,构造一个请求,来请求一个我们有权限的页面,在构造请求的时候,把用户的cookie当作参数传过去,然后我们就可以在这个页面里,接收传过来的参数,然后再保存起来。所以首先需要写一个接收cookie的页面,它能够接收某个参数,然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下,recv_cookies.php这个文件就是用来接收cookie并保存的,源码如下: 2.构造语句 <script>document.write(
简单利用XSS获取Cookie信息实例演示
weixin_34088583的博客
03-07 2095
简单利用XSS获取Cookie信息实例演示   首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先&lt;script&gt;alert('xxs')&lt;/script&gt;一下。呵呵,框框出来了       再看看自己的Cookie吧,把alert里面的内容换成documen...
XSS-窃取Cookie及拓展
最新发布
2301_76631050的博客
07-23 917
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1934
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSSCookie获取练习
0xcc'Blog
04-22 344
#0x00:Cookie获取(Get方式) #0x01:Cookie获取(Post方式) #0x02:XSS钓鱼获取账号密码 我们可以把恶意代码放到网站的后台,当用户点击此网站的连接时,页面会弹出一个输入账号密码的页面,如果用户的安全意识不高,输入的数据就会发送到我们的后台。 #0x03 ...
04-xss获取cookie实验
tianxiadiiw的博客
05-06 448
攻击者服务器:192.168.74.134,将获取cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.74.133,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。但是只有几分钟的时间进行操作,期间可以查看数据库,建立用户,用户向管理员举报有问题的页面,管理员前去访问,攻击者则直接获取到了管理员的cookie。攻击者在回帖中输入文章内容,并加入JavaScript开始进行xss攻击,3、获取管理员 Cookie
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
-----已搬运-----反射型xss获取cookie(本地实现)
Zero_Adam的博客
02-17 2241
目录:1.最简单的反射性xss获取cookie注意!!!! 1.最简单的反射性xss获取cookie <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'
XSS漏洞利用---GET型XSS漏洞获取用户Cookie信息
Ethan024的博客
03-07 1208
** XSS漏洞利用(本文仅供技术学习与分享) ** GET型XSS漏洞获取用户Cookie信息 我们都知道XSS漏洞可以让浏览器弹框,但是不知道有什么实际的危害。下面我用皮卡丘靶场来做实验。 实验准备 皮卡丘平台为存在XSS漏洞平台的站点; 用户正常访问该站点; 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台); 实验思路 攻击者在pkxss后台创建一个接收数据的接口; 攻击者在存在XSS漏洞的站点上插入恶意脚本; 正常的用户访问XSS页面,触发脚本;站点随即返回恶意JS的页面给
【CTF练习】BUU XSS COURSE 1(XSS获取cookie登录)
m0_73866435的博客
02-28 2514
有两个尝试点。
xss Cookie
10-09
xss利用工具 Cookie
XSS获取COOKIE
04-20
XSS获取COOKIE
简单的利用XSS获取用户cookie
shy的博客
10-25 4362
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3925
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
内网渗透cookie获取
D-R0s1的博客
07-18 2836
                                             内网渗透                                                                         ——cookie获取         今天给大家分享的实验仍然是内网渗透的系列,对于kali linux的初学者,想必实实在在的实验比那些大段的...
xss获取cookie
94小菜
08-02 103
PHP模拟登陆并返回cookie XSS漏洞获取cookie
cookie获取xss
baidu_41942652的博客
04-28 459
首先打开pikachu平台,找到反射型xss(get)章节。 打开后台 登录账号 将字数限制去掉 然后输入一个的script语句 然后可以在后台看见用户访问的cookie信息 这样一次cookie获取就成功了! ...
xss获取cookie无密码登录-学习笔记
XiaoXiao_RenHe的专栏
05-06 1680
什么是cookie,什么是xss,如何通过xss获取cookie以便登录系统。
使用Content-Security-Policy防止XSS攻击:指南与实践
本文将介绍如何使用Content-Security-Policy(CSP)来加强网站安全性,防止XSS攻击。CSP是一种策略,它允许开发者指定浏览器仅从特定来源加载和执行资源,以此来对抗跨站脚本攻击。通过定义白名单,CSP有效地阻止了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值