web安全中存储型XSS手动获取cookie信息

已于 2023-01-14 20:51:43 修改
阅读量583 收藏 4
点赞数 1
分类专栏: web安全 文章标签: xss web安全
于 2023-01-14 18:31:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63539335/article/details/128687679
版权

存储型XSS手动获取cookie信息

一.启动apache服务器

Kali中输入systemclt stuats apache2
在这里插入图片描述

二.创建一个收集cookie的php文件

在这里插图片描述

三.回车后按 i 进入编辑模式

在这里插入图片描述
编辑完成后按 Esc键 退出编辑模式
输入 :wq 保存并退出

四.给目录赋予权限

在这里插入图片描述

五.开始植入xss

进入到dvwa靶机中
注:靶机中的输入框有字符限制,为了能够将代码完整输入所以我们需要改变限制
1.按F12或单击鼠标右键点击检查
在这里插入图片描述

2.点击选择器(查看器右边),选中message输入框
在这里插入图片描述

3.在查看器中修改maxlength
在这里插入图片描述

4.输入以下代码(这里的IP为kali的IP)

在这里插入图片描述

六.受害机登场

可以使用真机访问靶机,点击xss stored(这里会出现一个弹窗,需要点击允许跳转)
跳转到一个空白页面则表示成功上钩
在这里插入图片描述

七.在kali中获取受害机cookie信息,完成迫害

在这里插入图片描述

Dimples °717
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021-09-01 网安实验-XSS-存储XSS获取用户cookie
时光隧道
09-02 4万+
一:存储XSS 1.保存用户cookie 我们可以通过JS,构造一个请求,来请求一个我们有权限的页面,在构造请求的时候,把用户的cookie当作参数传过去,然后我们就可以在这个页面里,接收传过来的参数,然后再保存起来。所以首先需要写一个接收cookie的页面,它能够接收某个参数,然后保存起来。页面写好保存在c:\wamp\www\xss\的目录下,recv_cookies.php这个文件就是用来接收cookie并保存的,源码如下: 2.构造语句 <script>document.write(
ctf xss利用_利用存储XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1615
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
cookie注入靶场
weixin_45540609的博客
04-19 264
id = 169和id=170-1的页面显示相同,说明有sql注入 字段有10个 union select 1,2,3,4,5,6,7,8,9,10 页面对传参进行拦截 设置cookie名称是id,值是170 发现及时url没有id值,页面也可以回显id=170的页面,说明cookie值可以影响get传参,也许存在cookie注入 用url encode编码下面语句,放入cookie插件 170 union select 1,2,3,4,5,6,7,8,9,1...
xss平台获取管理员cookie
最新发布
weixin_69065643的博客
07-23 199
登录管理员后台(用户:admin 密码: 123456)复制第二条 粘到pikachu靶场xss盲打关卡。点击创建的项目,查看配置代码。我们可以看到有主机上线。可以看见cookie
第五章 城会玩?抱歉我是一名程序员 存储xss偷取更高权限的管理员登陆cookie
Q893448322的博客
12-27 496
** 目录 第一章 黑客学习路线梳理 第二章 让你的kali变得更好用 第三章 别惹程序员0.0~简单的web渗透拿到用户名密码 第四章 抛弃我,我会战斗不息~跳过防火墙,进入后台 ** 继上一篇文章(第四章 抛弃我,我会战斗不息~跳过防火墙,进入后台),我们已经进入了美人所创建的网站后台,把她网页要展示的信息好好“调整”了一下,但是还是意犹未尽,毕竟现在的小小惩罚还没有让她意识到问题的严重性嘛,所以雁过留声,想着还要在她的网站植入一个木马,借此好好调戏一番抛弃自己的美人~ 但是发现我们进一步的攻击却受到了
实战:存储XSS攻击获取Cookie及防御
qq_43535990的博客
11-06 8993
实战:存储XSS攻击获取Cookie及防御一、存储XSS攻击原理二、搭建测试网站1.phpstudy开启Apache和mysql服务2.搭建数据库3.创建网站文件4.书写代码三、创建xss攻击文件四、上传payload获得用户Cookie 一、存储XSS攻击原理 在讲解存储XSS攻击之前,我们要先明白XSS是个什么东西。 XSS(Cross Site Scripting)跨站脚本攻击,是指攻击者利用Web服务器的应用程序或代码漏洞,在页面嵌入客户端脚本(通常是一段由JavaScript编写的恶意
XSS漏洞利用——获取cookie
cxrpty的博客
02-20 1755
实验环境:DVWA 实验步骤: 一、在服务器创建一个1.php文件获取cookie值,并将cookie值写入1.txt php代码如下: <?php $file=fopen("1.txt","a"); if($_GET['cookie']){ $cookie=$_GET['cookie']; fputs($file,"$cookie\r\n"); } ?> ...
存储Xss成因及挖掘方法
08-31
存储Xss(Cross-site scripting)是Web应用常见的安全漏洞之一,主要表现为攻击者能够将恶意脚本注入到Web页面,当其他用户访问这些被注入脚本的页面时,恶意脚本会在用户的浏览器执行,从而对用户的数据...
xss跨站脚本攻击-运维安全详细笔记
06-30
存储xss攻击是指攻击者将恶意代码存储在网站的数据库,当用户访问该网站时,恶意代码将被执行,从而盗取用户敏感信息存储xss攻击的危害较大,因为攻击者可以在网站的数据库存储恶意代码,等待用户访问该...
Web 安全XSS的三种姿势及其防范手段
weixin_54787877的博客
03-15 2726
介绍 XSS 是跨站脚本攻击(Cross Site Scripting)的简写,但是从首写字母命名的方式来看,应该取名 CSS,但这样就和层叠样式(Cascading Style Sheets,CSS)重名了,所以取名为 XSSXSS 攻击,一般是指攻击者通过在网页注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式。 分类 XSS 攻击按是否把攻击数据存进服务器端,攻击行为是否伴随着攻击数据一直存在,可分为非持久XSS攻击和持久XSS攻击。 XSS 攻...
Web安全测试之XSS
07-16
- Stored XSS:又称存储XSS,攻击者将恶意脚本存储在服务器上的数据库或文件系统,任何访问包含此脚本的页面的人都会受到攻击。例如,攻击者在论坛发帖时插入恶意代码,其他用户查看帖子时,脚本将在他们的...
安全牛学习笔记】存储XSS和BEEF浏览器攻击框架
edu_aqniu的博客
09-30 4886
存储XSS                                                               长期存储于服务器端                                            每次用于访问都会被执行javascript脚本                    Name:客户端表单长度限制           
XSS漏洞利用之cookie获取
热门推荐
越努力 越自由
08-01 1万+
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
存储XSS结合XSS平台获取cookie信息进后台——efucms
W小哥
12-29 5387
实验目的:利用存储XSS获取管理员Cookie信息,修改本地Cookie信息为管理员Cookie,以管理员身份不输入用户名、密码直接登陆后台 受害者浏览器:谷歌浏览器(也就是网站管理员使用的浏览器) 攻击者浏览器:火狐渗透便捷版浏览器 一、攻击者利用XSS漏洞攻击过程 第一步:使用火狐渗透测试便捷版浏览器打开目标网站 第二步:找到可以发表评论的地方,输入进行XSS测试,看是否弹窗,若弹窗则说明...
基于dvwa的反射性xss获取cookie分享篇
weixin_47319512的博客
05-10 1476
好切回正题,这段代码的是正则表达意思就是把这些'/
基于dvwa的存储xss获取cookie分享篇
weixin_47319512的博客
05-12 526
首先我们启动靶场,把难度级别调整到low,然后选择存储xxs,进入页面。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1813
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
XSS平台打cookie实战
m0_74989372的博客
05-05 469
xss平台的使用及xss漏洞的利用
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4290
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值