【记一次踩坑:pikachu靶场钓鱼无法获取cookie】

最新推荐文章于 2024-06-11 15:56:00 发布
最新推荐文章于 2024-06-11 15:56:00 发布
阅读量492 收藏 9
点赞数 8
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38541179/article/details/134630879
版权

记一次踩坑:pikachu靶场钓鱼无法获取cookie

一开始使用phpstudy 在网上找了好多资料,解决了输入账号密码后不在重复弹框

原因:PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效,因此该功能不适用于 CGI 版本,我这里使用的是phpStudy搭建的环境,默认是以CGI版本运行PHP。后续通过重新搭建环境解决此问题。
可以参照该文:
Pikachu漏洞靶场系列之XSS

解决了第一步但还是不行,抓包检查,发现获取到了账号密码,但是无法传送过去,不能正确跳转302,最后仔细发现后

在这里插入图片描述
标红处少了单引号,然后完美获取到了,对照下图才发现的
在这里插入图片描述
不清楚是我下载的靶场是不是有问题,还是太菜了,一下竟然没发现。折腾了好久

赤色暗流
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS平台获取cookie
weixin_43387567的博客
04-02 4307
今天,我学习xss平台获取cookie的时候,由于各种毛病获取不到cookie。现在复现成功了,所以把过程写出来,录一下过程,希望对入门的朋友有用。 首先我们得自己搭建环境,互联网是非常危险的。 我平时都是用docker搭建需要的坏境,非常简单。 yum install -y docker #安装docker service docker start #启动docker docker sea...
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1183
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘
pikachu存储型XSS钓鱼攻击后台收不到数据的原因!
qq_63526803的博客
04-23 1165
XSS钓鱼攻击后台获取不到数据的原因。
pikachu-xss部分速通
m0_46684679的博客
12-07 352
pikachu-xss部分速通
pikachu靶场钓鱼问题整不明白了,只好改一下这个文件,后台就是收不到请求
最新发布
qq_29078869的博客
06-11 390
pikachu xss 靶场
pikachuxss如何获取cookie靶场,返回首页总是失败
山兔的博客
04-23 854
xcookie模块,在这个下面,有一个cookie.php文件,把他重定向的IP地址,改成你靶场的首页地址IP header("Location:http://192.168.1.4/pikachu/index.php"); 就可以了
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 5942
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
xss获取cookie
94小菜
08-02 95
PHP模拟登陆并返回cookie XSS漏洞获取cookie
攻防系列——pikachu靶场通关练习
weixin_43140411的博客
10-23 1995
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
Pikachu靶场练习总结
weixin_47387913的博客
03-05 2864
Pikachu靶场练习总结 前辈们好!作为一个进入安全行业的初学者,靶场练习必不可少,我将我对某些靶场练习的总结写在这里,错误之处请多多指正。 靶场pikachu 关卡:暴力破解 基于表单的暴力破解: 先看提示: 用户名和密码我们都是不清楚的,可建立密码库利用burp中的Intruder功能进行暴力破解,先通过Proxy截取报文,发送到Intruder中。 因为用户名和密码都是不清楚的,那么我们要添加username和password2个爆破选...
pikachu(新手web安全入门靶场).7z
08-29
Pikachu靶场是一个专为初学者设计的Web安全学习环境,它提供了一系列精心构造的安全漏洞场景,让新手能够通过实战操作,理解和掌握Web应用安全的基本概念和技术。 一、Web安全基础 Web安全主要关注Web应用程序中...
pikachu靶场的安装以及使用
热门推荐
Christma1s的博客
03-04 3万+
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。 Pikachu上的漏洞类型列表如下: Burt Force(暴力破解漏洞) XSS(跨站脚本漏洞) CSRF(跨站请求伪造) SQL-Inject(SQL注入漏洞) RCE(远程命令/代码执行) Files Inclusion(文件包含漏洞) Unsaf...
xss收集cookie方法(以pikachu靶场举例)
weixin_59047731的博客
01-13 866
本文提到的收集cookie后台页面来自于pikachu靶场,只是把它单独提出来弄成一个网站(完整安装皮卡丘的安装包中都有这个pkxss文件的)
利用XSS漏洞轻松拿到登录用户的cookie
weixin_34277853的博客
06-06 2647
前言 最近在逛小程序,其中发现一个小程序是申请用户信息后自动在某站注册账号。 于是便去网站看了下,WOW!好多输入框~就顺手试了下xss。 找到XSS漏洞 本着学习交流的目的,用颤巍巍的手指在用户名称的输入框里输下了如下代码: <script>alert(1)</script> emm...没反应,内心一阵失落,并没有预期中那样弹出个框来,叹了口气。 但是,好歹是个程序...
Pikachu靶场全级别通关教程详解
Karka_的博客
10-20 455
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
pikachuxss
qq_43665434的博客
01-31 534
pikachuxss XSS 跨站脚本漏洞概述 原因 形成xss的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输出到前端时被浏览器当作有效代码解析执行从而产生危害。 地位 一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位 危害对象 xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户 危害 可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。 设置可以结合浏览器自身的漏洞对用户主机进行远程控制 攻击流程 插
XSS基础入门/从0到1/非常基础/cookie/会话劫持
ChenD的学习笔记
10-10 1556
cookie介绍、XSS类型、XSS盗取cookie、利用Cookie劫持会话
1、pikachu靶场xss钓鱼复现
weixin_51520483的博客
05-24 522
1、fish.php:文件源码分析,这是恶意构造的页面,即恶意插入xss代码中的url:127.0.0.1/pkxss/xfish/fish.php。2、此时恶意代码已经存入数据库,并存在网页中,当另一个用户打开这个网页时,就会触发xss恶意代码,被跳转的另一个页面,并弹出登入框。1、在含有xss漏洞页面,插入一个一个恶意script代码,代码会触发跳转页到恶意页面。2、xfish.php:他会获取到传入过来的账号密,并将这些存入数据库。3、这个时候如果输入账号密码,就会被恶意构造的后台窃取储存。
简述代码审计过程:Pikachu靶场安装
04-03
代码审计是一种对软件代码进行全面分析、检测和评估的过程,以确定是否存在潜在的安全漏洞和错误。下面是Pikachu靶场的安装过程。 1. 安装Web服务器:在Pikachu靶场中,通过Apache Web服务器来提供Web服务。在Linux系统中,可以通过apt-get安装Apache。 2. 下载Pikachu靶场代码:从GitHub上下载最新的Pikachu靶场代码,并解压到Apache Web服务器的目录中。 3. 配置数据库:Pikachu靶场使用MySQL数据库来存储用户信息和相关数据。需要先在Linux系统上安装MySQL,并创建一个名为“pikachu”的数据库。 4. 导入数据库表:将Pikachu靶场代码目录下的“pikachu.sql”文件导入到MySQL数据库中,以创建相应的表结构。 5. 修改配置文件:将Pikachu靶场代码目录下的“config.inc.php”文件中的数据库连接信息修改为正确的MySQL数据库连接信息。 6. 启动Web服务器:启动Apache Web服务器,通过浏览器访问Pikachu靶场的URL地址即可开始使用。 在进行代码审计时,需要对Pikachu靶场的各个模块进行深入分析,包括登录、注册、题目、排行榜等功能。需要注意的是,审计过程中需要保持开放的思维态度,尽可能多地尝试各种可能的攻击方式,以确保代码的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值