pikachu平台之xss漏洞

最新推荐文章于 2024-05-25 08:00:00 发布
最新推荐文章于 2024-05-25 08:00:00 发布
阅读量3k 收藏 15
点赞数 2
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42728977/article/details/103511318
版权
反射型xss(get)
原理

传递的参数直接存在页面代码中,而且没有过滤

流程

打开页面
在这里插入图片描述
发现有长度限制,F12进行修改 。
在这里插入图片描述
输入特殊字符,检查是否有过滤
在这里插入图片描述
发现并没有过滤,而且直接在页面代码中了
在这里插入图片描述存在xss漏洞,尝试输入<script>alert(xss)</script>,发现有长度限制,用F12修改后。
在这里插入图片描述

反射型xss(post)

xss(post)攻击的基本原理
在这里插入图片描述
方便起见,都用本地了

攻击者127.0.0.1
受害者127.0.0.1
漏洞服务器127.0.0.1

先尝试登陆,默认admin/123456
在这里插入图片描述
接下来修改post.html,诱使被攻击者点击链接,访问该页面,进而触发自动提交表单,获取其cookie。
在这里插入图片描述
诱使被攻击者点击链接http://192.168.171.129/pikachu/pkxss/xcookie/post.html
当被攻击者点击之后,其cookie等信息自动提交到接受服务器。
在这里插入图片描述
攻击成功!

存储型xss

原理:
存储型XSS和反射型XSS形成的原因是一样的,不同的是存储型XSS下攻击者的可以将脚本注入到后台存储起来,构成更加持久的危害
我们在pikachu尝试留言
在这里插入图片描述
发现可能存在存储型xss漏洞
输入<script>alert("xss")</script>
提交之后
在这里插入图片描述
在这里插入图片描述
发现有存储型xss漏洞,刷新就会弹出,攻击成功!

XSS案例:钓鱼攻击

在这里插入图片描述
我们这里用一个Basic认证去做这个钓鱼攻击
实验机器
为了方便我们都用本地了,理论上一样的

攻击者127.0.0.1
受害者127.0.0.1
漏洞服务器127.0.0.1

修改pikachu里的\htdocs\pikachu\pkxss\xfish\fish.php

最低0.47元/天 解锁文章
qq_42728977
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MySQL部署时提示Table mysql.plugin doesn’t exist的解决方法
12-16
今天部署了免安装版的MySQL,出现了Table ‘mysql.plugin’ doesn’t exist的问题,苦恼了好久,终于在网上找到了解决方案,现整理一下给大家分享: 系统环境:Win10 64位 MySQL版本:mysql-5.7.17-winX64 部署的步骤就是按照网上说的: 1:修改环境变量path,增加值C:\Program Files\mysql-5.7.17-winX64\bin 2:修改my-default.ini,重命名为my.ini,修改文件内容: # basedir = C:\Program Files\mysql-5.7.17-winX64 # datadir
Table ‘ambari.members‘ doesn‘t exist 解决方法
只想买把蝴蝶knife
05-16 426
Table ‘ambari.members’ doesn’t exist 解决方法 这几天在装ambari的时候,登录界面arima报了错,报错如下: ,于是通过找sql语句 CREATE TABLE members ( member_id INTEGER, group_id INTEGER NOT NULL, user_id INTEGER NOT NULL, CONSTRAINT PK_members PRIMARY KEY (member_id), # FOREIGN KEY (g
XSS漏洞pikachu靶场中的XSS通关
qq_68163788的博客
05-25 1040
pikachu靶场中的XSS通关是一种漏洞攻击技术,通过在输入框中注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场中,攻击者可以通过输入恶意代码实现跨站脚本攻击,从而获取敏感信息或者控制网页行为。要防范XSS漏洞,网站开发者应该对用户输入进行严格过滤和验证,避免恶意代码的注入。
【数据库连接问题】【靶场访问错误】Table ‘xxx‘ doesn‘t exist,文件‘Not Find‘ 可能是管理软件与终端本身的一个连接问题
04-06 5837
MySQL和phpstudy之间的尔虞我诈……
pikachu靶场Table pikachu.member doesn’t exist:解决
weoptions的博客
11-23 1444
第一次搭建pikachu靶场,搭建好后访问index.php后,尝试练习,发现界面显示Table pikachu.member doesn t exist,后来找了很多教程,没有解决,后来发现是自己没有进行初始化,给大家出一个解决方法。
数据库Table‘*****‘doesn‘t exist问题的解决
疯狂学习的青年
04-14 1万+
刚下载了navicat15,想着开始用,但是刚打开就出现了如下的问题 把数据库删除了重新连接也不行,还是打不开 后来查阅资料 解决办法如下 1.先确定自己的MySQL安装在什么地方,我的实在D盘 2.打开cmd进入这个目录,cmd打开时默认是c盘,输入D:后会进入D盘 3.进入你自己的mysql文件的bin目录 4.输入mysql_upgrade -u root -p --force 他会让你输入密码,输入你得mysql的密码后 出现这些信息后,问题解决 ...
解决数据库报错:Table ‘*.*‘ doesn‘t exist错误
BUG粉碎机
07-26 3万+
错误详情 Caused by: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Table 'jd_item.item' doesn't exist at java.base/jdk.internal.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) ~[na:na] at java.base/jdk.internal.reflect.NativeCon
pikachu漏洞练习环境
10-25
"pikachu漏洞练习环境" 是一个专门为网络安全爱好者和专业人士设计的平台,旨在提供一个实践和学习漏洞利用技术的环境。这个环境可以帮助用户提升在网络安全领域的技能,了解常见漏洞的原理,以及如何检测和修复它们...
基于PythonFlaskWeb版网站sqlxss漏洞扫描框架 html + flask + python + mysql
最新发布
05-27
基于PythonFlaskWeb版网站sqlxss漏洞扫描 框架 html + flask + python + mysql + orm +dvwa+sqllabs+pikachu dvwa config\config.inc.php.bak to config.inc.php $_DVWA[ 'db_server' ] = getenv('DB_SERVER') ?:...
pikachu靶场包含网络安全中常见的漏洞
11-08
Pikachu靶场中,你可以学习如何检测XSS漏洞,理解反射型、存储型和DOM型XSS的区别,并掌握防御策略,如输入过滤、输出编码等。 2. **SQL注入**:SQL注入是攻击者通过输入恶意的SQL语句来获取、修改、删除数据库...
pikachu-master
05-04
Pikachu是一款开源的Web安全漏洞扫描器,主要针对Web应用进行安全检测,涵盖了SQL注入、XSS跨站脚本、文件包含、命令执行等多种常见漏洞类型。它的设计目标是简化安全测试过程,帮助用户快速发现潜在的安全问题,...
Table ‘表名‘ doesn‘t exist 一个小细节
weixin_50991263的博客
05-06 1万+
兄弟们 这个错 困扰了一两天 特别简单得问题 Table '表名' doesn't exist 单引号里边时表名,不是数据库名 要是用数据库名就会报这个错误 看图 这个就是用 了数据库名 会报这个错 说这个表不存在,确实,都没这个表确实没没办法进行操作 用表名就会成功 这是我犯得小错误 希望对大家有帮助 ...
Table ‘mysql.TR_MEMBER‘ doesn‘t exist
weixin_44214857的博客
12-15 554
Table ‘mysql.TR_MEMBER’ doesn’t exist 问题:数据库里存在表 报错表不存在 解决方法 :表名改成小写
搭建pikachu靶场出现的问题
ya2613的博客
05-30 787
登录pikachu靶场,如果还是显示一样的错误就在原网页后面加上/install.php,按照对应的步骤进行初始化,看到之前的pikachu文件夹下出现对应数据就解决了这个问题。原因:我猜应该是 pikachu靶场没有实现自动连接对应的数据库,要手动连接上对应的数据库。解决方法:在phpstudy的mysql的data文件夹下新建一个pikachu的文件夹。问题提示:pikachu.number not exist
Error【1146】:Table 'xxx.xxx' doesn't exist问题原因及解决方法
热门推荐
漠效的博客
08-21 29万+
前言
mysql报错Table ‘xxxx‘ doesn‘t exist
java技术博客
10-20 2500
pear_admin 开源项目的定时任务使用的是 quartzquartz 默认的表初始化脚本都是表明大写作者方便并且复合表名命名规范 , 定义表名为 xxx_xxx 的小写格式所以启动时候报错 , 表找不到。
Table ‘数据库名.数据表‘ doesn‘t exist报错
qq_53176558的博客
08-18 4809
这个问题是我在初学MyBatis遇到的问题,在xxxMapper.xml文件中,写入插值语句,然后连接数据库,返回影响结果,但一直报这个问题。我就看是不是我的表名写错了,结果发现并没有错误,然后去网上找了好多方法都没有用,然后就在Navicat上通过提示写完了这个查询语句。然后就先在MyBatis中先用了,然后就重新建了张测试表,发现没有然后问题,然后就又发现,写表名时不仅要用到 `` ,还要在里面加一个空格,因为当时就只有一个表,根本看不出来,发现表名开头多打了一个空格。创建表名时不能手滑!
2021-05-11
llykingsohyun的博客
05-11 610
什么是XSS攻击 先上一段标准解释(摘自百度百科)。 “XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。” 相信以上的解释也不难理解,但为了再具体些,这里举一个简单的例子,就是留言板。我们知道留言板通常的任务就是把用户留言的内容
小皮中pikachuxss后台报错解决
2302_76986722的博客
09-13 1433
初始化中会出现这样的报错:找不到数据库以及。
pikachu靶场xss漏洞通关
08-10
要通关Pikachu靶场的XSS漏洞,你可以按照以下步骤进行操作: 1. 首先,了解XSS漏洞的原理和类型。XSS(跨站脚本攻击)是一种常见的Web漏洞,攻击者通过在网页中注入恶意脚本,利用用户的浏览器执行恶意代码,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值