xss钓鱼测试和xss盲打
前言
一、什么是xxs钓鱼测试和盲打
首先就是我们遇到可以进行注入的方框,可以注入一个js代码构造登录页面,然后就可以将登录信息发送到我们的xss后台中。
xss盲打就是在不知道是否存不存在xss漏洞的情况下,进行注入代码进行测试,然后如何存在,就可以进行注入js代码进行攻击。
二、xxs钓鱼测试和盲打获取用户登录信息
1. xss钓鱼测试
这里我们进入存储型xss实验
我们发现方框,进行注入js代码,输入
进行代码审计可知
我们发现代码出现了发送认证框,并将信息传送到后台
提交后出现登录框,输入默认密码
进行登录后,就那个入后台查看钓鱼结果
结果我的没有出现,比较上面的是师傅出现的结果,哥哥姐姐们可以尝试一下,实验结束。
2. xss盲打
进行实验xss盲打实验
这里试试看有没有xss漏洞,在方框里注入js代码,这里我注入万能xss代码
我们注入代码进行提交
然后进入管理员后台进行登录,用默认账号和密码进行登录
admin,123456
http://192.168.222.4/pikachu/vul/xss/xssblind/admin_login.php
进入之后,发现弹出了方框,说明存在xss漏洞
![在这里插入图片描述](https://img-blog.csdnimg.cn/b358e89076ae42b7a53aaaf4b31c0c6c.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYn
实验结束,也算盲打成功了。
总结
本次实验是对xss钓鱼页面和盲打进行了练习,也在今后进行渗透测试过程中对xss的利用和攻击中更能灵活运用。