实验25:cookie获取和钓鱼攻击演示

最新推荐文章于 2022-12-12 12:51:49 发布
最新推荐文章于 2022-12-12 12:51:49 发布
阅读量836 收藏 2
点赞数
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/89343887
版权
本文通过实例展示了如何利用XSS漏洞获取用户Cookie。首先解释了攻击流程,接着在Pikachu环境中配置了相关接口。通过PHP实现cookie收集,并通过URL处理和重定向隐藏攻击痕迹。最后,演示了如何构造带恶意代码的URL,诱使用户点击,从而捕获其Cookie信息。
摘要由CSDN通过智能技术生成

XSS漏洞测试:
在这里插入图片描述
案例1:xss如何获取cookie
我们先来看一下流程图,上次我们只是利用xss来弹了个窗,这次我们会演示如何获取用户的cookies.因为我们要演示的是一个get型xss,所以他所有的参数实在url里面的,所以攻击者就会把带有恶意JS的url发给用户,用户如果点击了,显然就会被攻击,获取到的数据需要有一个接口,需要一个后台。
在这里插入图片描述
在pikachu上可以提前部署好环境再安装好pkxss后台就可以建立这样的接口。
在这里插入图片描述
在这里插入图片描述
安装完后是这样的
在这里插入图片描述
在这里插入图片描述

最低0.47元/天 解锁文章
以菜之名
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击
最新发布
时光隧道
02-10 7万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
黑客是怎么cookie获取钓鱼?键盘记录?
jklbnm12的博客
04-13 1086
xss后台的搭建 1 打开pikachu找到管理工具xss后台 2 点击xss后台看到下面的界面就是成功了 3 进行登录页面,登录进去即可。 XSS案例:盗取Cookie 实验机器 攻击者127.0.0.1:88 受害者127.0.0.1:88 漏洞服务器127.0.0.1:88 攻击流程 修改C:\xampp\htdocs\pkxss\xcookie下的cookie.php,将IP地址改为漏洞服务器的地址(这里注意一下因为xss后台是可以单独拿出来运行的后台,所以我将pkxss后台文件从pikac
cookie欺骗实战案例
aimei1647的博客
04-23 252
提前声明:本篇文章只是为了技术演示用并无恶意 cookie欺骗:通过修改cookies的内容来得到相应的用户权限进行登录。 cmd pinghttp://ship188.com/ 得到ip地址:119.28.11.143 转载于:https://www.cnblogs.com/noper/p/6750543.html...
web渗透测试-从入门到放弃-04XSS-Cookie获取/钓鱼
lx1315998513的博客
10-31 860
GET型XSS利用:cookie获取 用户与站点 用户——>访问XSS页面,触发脚本——>存在XSS漏洞的站点(pikachu) http://127.0.0.1(在触发脚本的同时,脚本会将窃取的cookies数据发送到攻击者搭建接受cookie的后台网站:http://192.168.10.130/pikachu/pkxss) 用户<——返回“带恶意JS”的页面<——存在...
cookie欺骗教程
龙的天空
12-04 1228
   唉,很早就想点关于COOKIE的东东了,主要是网上有不少文章说半天其实也没有多少实质的东西。   首先大家明白什么是COOKIE,具体点说如果是98那么它们默认存放在C:/windows/cookies目录下,如果是2k它们在C:/Documents and Settings/%你的用户名%/Cookies目录下(每个文件都不会超过4KB)   它们的文件名格式为:你的用户名@产
cookie欺骗(bugku)
hhh
09-06 2439
利用cookie值进行攻击; 完全没有一点经验,看到这个提示,我唯一能想到的就是用burpsuite抓包后修改一下cookie值,也许会有些什么东西;可是抓包后完全无从下手…… 然后有没有发现这道题的url跟其他的有些不一样呢?后面有一串很奇怪的参数,这熟悉的“=”,应该是base64编码,拿去解码一下:原来是&amp;fillename=key.txt; 另外url里还有一个参数:line...
cookie获取钓鱼攻击演示
北冥有鱼
04-19 1201
XSS漏洞测试: 案例1:xss如何获取cookie 我们先来看一下流程图,上次我们只是利用xss来弹了个窗,这次我们会演示如何获取用户的cookies.因为我们要演示的是一个get型xss,所以他所有的参数实在url里面的,所以攻击者就会把带有恶意JS的url发给用户,用户如果点击了,显然就会被攻击获取到的数据需要有一个接口,需要一个后台。 在pikachu上可以提前部署好环境再安装好pk...
DOM型XSS;cookie获取及XSS后台使用;XSS钓鱼演示;XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2220
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
网络安全学习第8篇 - xss攻击(java实现反射型xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3962
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出...
pikachu靶场-2 跨站脚本漏洞(xss)
weixin_52180702的博客
12-12 779
由于127.0.0.1/pkxss/rkeypress/rkserver.php是攻击者自己搭建的,攻击者可以允许所有的人跨域请求他,因为这个网站是攻击者自己的,为了实现攻击目的,可以rkserver.php把里面的Access-Control允许所有人访问。存储型XSS漏洞跟反射型XSS形成的原因一样,不同的是存储型XSS下攻击者可以将脚本注入到后台存储起来,构成更加持久的危害,因此存储型XSS也称”永久型“XSS。这就是一个反射型的XSS。XSS绕过的姿势有很多,取决于你的思路和对前端技术的掌握程度。
渗透测试-跨站脚本攻击xss之获取cookie
lza20001103的博客
04-24 4901
渗透测试-跨站脚本攻击xss之获取cookie
Cookie使用机制
u012872771的博客
09-19 135
我们就需要用一些技术来帮助服务器去识别用户 cookie 在客户端存储用户标识信息。识别用户,持久化最好的方式。 cookie原理: 1、首次访问Web站点时,web服务器对用户一无所知。web服务器希望这个用户再次回来还能认识它。所以想给这个用户一个标识。标签。set-cookie: user_id=aimee123的响应首部 2、服务器返回响应的时候会带有响应首部set-cookie字段。浏览...
利用XSS获取cookie
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
dvwa中 利用反射型xss获取cookie进行会话的劫持演示
qq_35420342的博客
04-08 7655
首先打开dvwa,设置安全等级为low:输入&lt;script&gt;alert(11)&lt;/script&gt;证明弹窗:编写获取cookie的代码cookie.php,并将其放在一个web服务器上,这里我就放在http://127.0.0.1/dvwa/下面:构造如下URL,并发送给被攻击者:原始URL: http://location/dvwa/vulnerabilities/xss_...
钓鱼攻击(kali,花生壳)
dongfeng456的博客
12-28 5052
网页钓鱼是怎么做到的。
中间人攻击之劫持登录会话(cookies)
weixin_30532759的博客
01-23 438
关于中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称"MITM攻击")是一种"间接"的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为"中间人"。 因为FreeBuf几位前辈已经给出了大量的中间人攻击的方法,这里就不再重复了。恰好看到FreeBuf目前没有关于中间人攻击劫持登陆回...
PHP实验Cookie实现自动登录
实验的主要目标是通过创建和使用Cookie来实现用户登录后再次访问网站时的自动登录效果。 在PHP中,Cookie是一种在客户端存储数据的技术,用于在用户浏览器端保存信息,例如用户的登录状态。在这个实验中,有两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值