在初步探测到XSS漏洞时,此时我们可以使⽤xss在线平台,去获取⼀些我们需要的信息,⽐如
位置/键盘记录/IP地址/表单挟持
# 公⽹xss平台:
○ https://xss.pt/xss.php?do=login
○ https://xsshs.cn/xss.php?do=login //失效
○ https://xssaq.com/xss.php?do=login
○ https://xs.sb/login/
# XSS平台项⽬:
○ https://github.com/78778443/xssplatform
XSS-窃取Cookie
详细步骤:
1.在以下⽹站注册账号并登陆
点击"创建项⽬"并填写项⽬名称...⽴即提交
https://xssaq.com/
2.在我的项⽬中选择我们刚创建的项⽬
3.点击右上⻆的查看配置代码
复制script这⼀条代码
4.打开⼀个pikachu平台
xss盲打并将我们刚才复制的script恶意代码输⼊进去
下载地址 https://github.com/zhuifengshaonianhanlu/pikachu
若网站无法访问,换下浏览器或者清除下dns缓存即可
5.模拟管理员登录后台的操作
登录完成后触发我们插⼊的恶意代码
6.查看劫持信息
此时回到平台上可看到其劫持的Cookie信息
点击查看 可以查看到其中的cookie字段