利用Backtrack劫持cookie

最新推荐文章于 2024-04-01 09:55:17 发布
最新推荐文章于 2024-04-01 09:55:17 发布
阅读量237 收藏
点赞数 1
分类专栏: 安全开发 web安全 实战篇 文章标签: Backtrack 利用Backtrack劫持 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/92117273
版权
实战篇 同时被 3 个专栏收录
167 篇文章 4 订阅
订阅专栏
安全开发
153 篇文章 18 订阅
订阅专栏
web安全
97 篇文章 10 订阅
订阅专栏

在这里插入图片描述
1、前言
还在用没有加密的wifi看微博吗? 小心您的cookie被人劫持,微博被人盗用!

本文我们将介绍如何使用arpspoof与wireshark和cookie injector脚本来劫持腾讯微博的cookie

2、arp毒化
开启内核IP转发:echo ”1″ > /proc/sys/net/ipv4/ip_forward

通过traceroute命令追踪网关地址,我们发现目前网关地址为192.168.2.1
在这里插入图片描述
使用arpspoof来进行arp毒化

2.1 通过ifconfig 命令查看目前网络接口名称
在这里插入图片描述
2.2使用arpspoof毒化arp并窃取cookie
Arpspoof -i eth1 -t 192.168.2.111 192.168.2.1

目标机器毒化前arp -a
在这里插入图片描述
目标机器毒化后arp -a
在这里插入图片描述
从这里我们可以到毒化成功了.(小贴士:别忘了第一步的内核IP转发不然目标会断网哦. )

使用wireshark 监听数据.输入过滤器http.cookie contains t.qq.com(小帖子:http.cookie=过滤http协议的cookie,contains t.qq.com=包含内容为t.qq.com)
在这里插入图片描述
我们找到
在这里插入图片描述
找到cooke 项目复制出来

接下来我们要用firefox greasemonkey里面的cookie injector 脚本

下载地址:https://userscripts.org/scripts/show/119798

注意第一次安装请重启浏览器否则不生效!

然后我们使用alt+c呼出cookie injector脚本.

粘贴我们刚刚复制出来的cookie.
在这里插入图片描述
点击OK.然后刷新网页
在这里插入图片描述
bingo成功进入了腾讯微博.
ok 完事

Coisini、
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BackTrack4利用渗透测试保证系统安全
03-18
BackTrack4利用渗透测试保证系统安全
BackTrack5 中文指南.zip
07-26
BackTrack5 中文指南.zip
如何保护你的账户和财产不被Cookie劫持和HTML注入攻击?
热门推荐
陈书予
03-08 1万+
随着互联网的普及,网络攻击也愈发猖獗,其中钓鱼攻击成为网络攻击的一大类别。钓鱼攻击指的是通过欺骗手段获取用户的敏感信息或者财产的行为。其中,利用Cookie劫持+HTML注入进行钓鱼攻击成为了攻击者非常常用的一种手段。本篇博客将详细讲解这种攻击方式的实现原理,以及如何从技术层面上进行防范。
什么是会话劫持及其工作原理?
lavin1614
01-06 1308
每次用户通过 HTTP 连接访问网站或应用程序时,该服务都会在打开通信线路并提供访问权限之前对用户进行身份验证(例如,通过用户名和密码)。但是,HTTP 连接本身是“无状态的”,这意味着用户执行的每个操作都是独立查看的。因此,如果我们仅依赖 HTTP,用户将不得不为他们执行的每个操作或查看的页面重新验证自己。会议解决了这一挑战。一旦用户登录,就会在托管网站或应用程序的服务器上创建一个会话,然后作为初始身份验证的参考。本质上,只要会话在服务器上保持打开状态,用户就可以保持身份验证。
网络安全学习笔记——盗取Cookies跨站脚本(XSS)
just do it
07-24 1372
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
cookie劫持
qq_41048303的博客
08-15 1161
pikachu靶场—cookie劫持 一.劫持的原理 ​ 利用XSS漏洞,对存在漏洞的位置进行测试,并写出payload。 ​ 将构造好的链接发送给用户,用户点击后就会将自己的cookie发送到攻击者提前布好的网站。 ​ 这次使用的是pikachu靶场,里面就存在着XSS相关的漏洞。 二、劫持的过程 环境说明 服务器: windows 7(pikachu靶场) IP:192.168.254.136 用户: windows 10 IP:192.
说说劫持 Cookie 的原理
weixin_34329187的博客
04-06 603
完成具体功能的恶意脚本(javaScript、Flash 等)称为 XSS Payload。黑客会通过这些脚本,来控制用户的浏览器。劫持 Cookie 就是一种 XSS Payload。 Cookie 中,一般加密存放着当前用户的登陆凭证。如果 Cookie劫持,那么黑客就可以不使用密码,直接登陆到用户的账号中。 1 窃取 Cookie 首先先在存在 XSS 漏洞的网站,加载一段远程脚本,形...
Cookie--防劫持的处理
时光里的博客
12-03 1134
Cookie与session HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息. 用通俗的语言, Cookie是钥匙, Session是锁芯. Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取
cookie劫持与明文密码发送
weixin_43225966的博客
04-21 633
代码分析,当用户访问登录页面时,会请求 http://localhost/metinfo/admin/?翻到 ./app/system/我们可以看到很多模块的文件夹,2.思路1: 准备一个xss平台,把script脚本放在admin登录后可以看的资源文件里,把cookie发送到平台,输入http://localhost/metinfo/admin/index.php 进入 admin 后台登录页面。3.思路2:修改代码,在用户登录成功时的那段代码里添加发送明文密码的语句,准备一个接收后台。
请解释一下Cookie劫持是什么,以及如何防止?
最新发布
长风破浪会有时的博客
04-01 596
Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名或者我们喜欢的东西。这样,当我们下次再去那个网站的时候,网站就可以通过这个小标记来认出我们,并为我们提供更好的服务。但是,有时候坏人会想办法偷走我们的这个小标记,也就是Cookie,然后利用它来假冒我们的身份去做一些不好的事情,比如进入我们的账户或者窃取我们的信息。:当我们在使用网络的时候,要尽量使用安全的网络连接,比如家里的WiFi或者学校的网络。:首先,我们要确保我们的电脑和手机是安全的,不被坏人控制。
xss盗取cookie原理剖析
weixin_51692662的博客
10-19 1815
xss盗取cookie
Session 会话劫持cookie窃取
Flynn的博客
04-08 985
会话劫持 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户 思路 攻击者不获取用户的cookie和session,而是想办法让用户在不知情的情况自己去踩坑。 比如CSRF跨站脚本让已经被服务器验证通过的用户来帮攻击者完成危险操作。 1.攻击者构造特殊的界面,请求修改密码。 //evil.html &lt
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7092
【XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
Cookie与Session的简单使用
彪悍的人生
07-30 1万+
Cookie http协议本身是一种无状态的协议,不能进行登录验证。 Cookie是对http协议的扩展。 服务端可以在响应头中添加 Set-Cookie 字段,将cookie值发送给客户端,浏览器在收到这个响应时,会自动将cookie保存起来,下次再发送请求时,会将这个cookie附带在请求头的Cookie字段中发给服务器。 cookie是按照域名分别存储的,从A域名得到的cookie只...
xss payload
weixin_33813128的博客
01-22 132
xss payload可以使用富客户端文本书写,大多数用javascript,少部分用actionscript等等。 1.盗取cookie,发起cookie劫持 使用xss漏洞插入cookie.js cookie.js代码:   1 var img = document.createElement("img"); 2   ...
qq空间登陆 cookie_如何导出保存和导入cookie
weixin_39934257的博客
11-30 1057
适用于:Chrome、Chrome 壳(如360/115/搜狗/QQ/UC/猎豹等浏览器)、Firefox、Edge、Opera一、准备工具:两个浏览器插件任意一个都可以,以下为安装地址Edit this cookie: 官方网站: http://www.editthiscookie.com/Chrome: https://chrome.google.com/webstore/detail/edi...
说说劫持Cookie的理
rede
04-19 1081
说说劫持 Cookie 的原理 完成具体功能的恶意脚本(javaScript、Flash 等)称为 XSS Payload。黑客会通过这些脚本,来控制用户的浏览器。劫持 Cookie 就是一种 XSS Payload。 Cookie 中,一般加密存放着当前用户的登陆凭证。如果 Cookie劫持,那么黑客就可以不使用密码,直接登陆到用户的账号中。 1 窃取 Cookie 首先先在存在 XS...
backtrack linux
08-13
BackTrack Linux(现在已经更名为Kali Linux)是一款基于Debian的Linux发行版,主要用于网络安全和渗透测试。它集成了大量的渗透测试工具和安全审计工具,方便安全专业人员进行各种网络安全测试和攻击模拟。 安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值