获取cookie_XSS获取COOKIE

最新推荐文章于 2024-01-26 17:22:50 发布
最新推荐文章于 2024-01-26 17:22:50 发布
阅读量1.3k 收藏 2
点赞数 2
文章标签: 获取cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31467557/article/details/113364021
版权

XSS获取COOKIE

Session(会话)

      如果想要知道cookie是做什么的,那么就需要了解一下什么是会话(Session),会话,说白了其实就是用来维持你的一整个访问流程,而在程序中,跟踪会话是很重要的事情,拿某宝举栗子,用户a在浏览的时候,他放入购物车的东西无论什么时间放入的,都是属于同一个会话,不会进入b的购物车中,二者不能够混淆,因为二者属于是不同的会话。

HTTP

       HTTP协议,HTTP协议本身是无状态的,一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。举个栗子:a在某宝上面看中了一样东西,然后把他加进了购物车,然后当再次想放入东西进购物车是,服务器就无法判断到底是a放入的还是b放入的,而要跟踪会话,必须引入一种机制。

Cookie

cookie就相当于是一个通行证,无论谁访问都必须携带自己的通行证,就好像我们乘坐高铁,需要身份证一样,闸机会识别你的身份证然后让你通行,Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

但是这也带来了很大的威胁,攻击者可以通过各种手段,捕获到你的cookie,对于捕获到的认证Cookie,攻击者往往会猜测其中的访问令牌,试图获取会话ID、用户名与口令、用户角色、时间戳等敏感信息;或者直接重放该Cookie,假冒受害者的身份发动攻击。

今天我们将通过一个XSS漏洞的靶机,拿到对方机器人的cookie,也就是key值

攻击流程

本次我们使用的是Windos的虚拟机,目标机器则是Linux。

首先我们需要用python来建立一个临时的监听服务端。这一步我们在DOS命令行中完成,使用python -m SimpleHTTPServer 8080

建立一个监听8080端口的服务器

86f24c90b739c79e67180e9da49da65e.png

并且使用ipconfig命令来查看我们的ip地址为172.16.11.2

230b2ac61b22c804860d5a788f272e5c.png

打开目标网站,我们发现了一个留言板的框架

f64c337e1870138d98ce412a59fd17b8.png

我们首先要检测她是否存在xss的漏洞,按照之前的方法。使用来检测

a6ee2d495a362a0d6a2b1bf365bbdb89.png

发现成功!存在xss漏洞!

06bb503c7dc972f06f13bb9911d4f912.png

现在我们构造自己获取cookie的xss语句并将其传入到我们临时的服务端中。

82fce3c55a88c974b7b68d29af95552c.png

由于我们之前打开了服务端,并且监听了8080端口,那么如果对方打开了这个留言板,我们就能拿到他的cookie值!

1a755390d6eafbf758d9d6bc82e690d3.png

成功拿到cookie!也就是key值!

本次实验完美结束!

守护网络安全,就是守护国家安全!

以攻促防

我冬天漏脚
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS.zip_XSS_c xss
09-24
1. **Cookie篡改**:攻击者获取用户cookie,可以模拟用户身份,进行非法操作。 2. **钓鱼欺诈**:创建伪造页面,诱导用户输入敏感信息,如账号密码。 3. **流量劫持**:利用XSS注入重定向用户到攻击者指定的网站。 4...
使用XSS漏洞获取cookies
最新发布
Decaede的博客
01-26 1131
使用XSS漏洞获取cookies
XSS获取cookie
qq_40273198的博客
11-21 4565
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
简单的利用XSS获取用户cookie
shy的博客
10-25 4293
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
使用xss来打cookie
weixin_60719780的博客
11-11 1084
在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改。2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块。成功用cookie登录。
XSS基础及实战(XSS提取cookie并登录的)
qidiandexiaowu
09-06 8215
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
XSS平台打cookie实战
m0_74989372的博客
05-05 439
xss平台的使用及xss漏洞的利用
xss.zip_3A58_XSS 检测_country59a_xss/level11_xss
09-20
3. 使用HTTPOnly Cookie:禁止JavaScript访问Cookie,防止通过XSS窃取敏感信息。 4. 定期进行安全审计:利用自动化工具扫描代码,找出潜在的XSS漏洞。 通过“xss.zip”的学习资源,我们可以模拟真实环境,亲手实践...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
1. **会话劫持**:通过XSS,攻击者可以获取用户的cookie或其他认证信息,从而冒充用户身份,进行非法操作。 2. **钓鱼攻击**:构造虚假页面,诱导用户输入敏感信息如密码、信用卡号等。 3. **点击劫持**:隐藏真实...
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
XSS攻击中,攻击者可能会窃取用户的会话令牌、Cookie或者其他敏感信息,甚至控制用户的浏览器行为。源码中可能包含了如何构造这类攻击的示例,以及如何防范的策略,例如输入验证、输出编码、设置HTTP-only Cookie...
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3149
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7107
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
【安全】P 4-2 XSS盗取cookie
Z_David_Z的博客
02-17 384
目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除 服务器可
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3878
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 994
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
XSS获取Cookie过程简单演示
热门推荐
qq_36609913的博客
01-15 2万+
XSS: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行 实例: 打开
利用xss漏洞窃取cookie登录
黑面狐
08-23 1万+
今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。 正好趁着这个机会给小伙伴们演示xss的危害。 首先在XSS平台上搭建一个测试项目。 我用的是http://xss.fbisb.com这个的免费平台 项目配置选择默认就可以了。 然后直接复制平台提供的代码到存在xss漏洞的地方 保存以后,我让另一个同事登录,并点击这个模块。 这是XSS
XSS漏洞利用之cookie获取
good good study
08-01 9950
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
xss获取cookie攻击
07-28
回答: XSS(跨站脚本攻击)是一种攻击方式,其目的是获取用户的敏感信息,如cookie。常见的XSS攻击手段包括盗用cookie、利用植入Flash获取更高权限、以用户身份执行管理动作等。\[2\]在XSS攻击中,攻击者通过在网页...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值