xss的盲打以及盲打实验演示

最新推荐文章于 2024-04-08 00:20:08 发布
最新推荐文章于 2024-04-08 00:20:08 发布
阅读量2.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43915842/article/details/89444961
版权

什么是xss盲打?
在这里插入图片描述
我们直接来到ipkachu的xss盲打页面进行演示
在这里插入图片描述
我们随便输入几个字符
在这里插入图片描述
发现我们的输入不会在前端输出,只会在后台输出,只有管理员能看到我们的内容
我们按照之前的思路输入一下payload,当然前端也没有输出
在这里插入图片描述
我们点一下提示会发现有登陆后台的地址,那我们就去登陆一下这个后台
在这里插入图片描述
在这里插入图片描述
登录进去后发现刚才的payload果然被插入进去了
在这里插入图片描述
这种情况其实就属于xss盲打,这个漏洞危害还是蛮大的,因为攻击者只要把盗取cookie的payload放进去,当管理员登录以后这个登录账号和密码就泄露了

。北冥有鱼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss平台源码
09-28
1. **XSS盲打**:该功能允许用户输入XSS payload,然后平台会在后台尝试在目标环境中执行这些payload,而不直接显示结果。这对于避免触发网站的防护机制或者防止payload被过滤很有用。 2. **Payload库**:平台可能...
服务器搭建XSS盲打平台,绕坑
CC__Faker的博客
05-07 1364
文章目录环境介绍环境搭建平台搭建平台使用 环境介绍 本次搭建环境采用的是ubuntu20,php,apache2,无需数据库 XSS平台项目名称:BlueLotus_XSSReceiver 项目地址:https://github.com/trysec/BlueLotus_XSSReceiver 环境搭建 sudo apt update 更新源 sudo apt install apache2 安装apache sudo systemctl status apache2 查看apac
第23篇:XSS绕过防护盲打某SRC官网后台
ABC_123的博客
09-19 1736
Part1 前言已经N年没挖SRC了,前几年曾有一段时间对XSS漏洞挖掘特别热衷,像反射型XSS、存储型XSS、DOM型XSS等挖得很上瘾,记下了很多笔记。遗憾的是多数平台都不愿意接收XSS漏洞,哪怕是存储型XSS漏洞给的评分都很低,因为XSS不能造成直接危害,利用起来有困难。所以当时花费了2天的时间,绕过各种防护及过滤,盲打到了一个SRC电商官网的后台。正好公众号文章写到现在,也缺少一篇讲解...
2 简单xss漏洞网页搭建(失败)及移植Linux
最新发布
weixin_62297109的博客
04-08 740
跨站脚本(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面、input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的XSS 的核心思想是在 HTML 页面中注入恶意代码。
收集了一些XSS攻击平台
软件质量优化
09-16 1万+
Attack APIBeEF  可与Metaspolit整合   http://fuzzexp.org/metasploit-and-beef-the-tutorial-chinese.html   http://www.myhack58.com/Article/html/3/8/2013/36603.htm  http://saysec.diandian.com/post/2012-09-04/
xss平台搭建(使用xsser.me源码)
热门推荐
blrk
06-24 2万+
需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。 1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/ 2、修改themes\default\templates\register.html中的提交按钮的源码为: 行53 修改为 3、邀请码的生成 (1)将文件source\user.p
Web应用安全:简单XSS测试脚本(实验).docx
06-19
4. **XSS盲打测试**: - 在盲打测试站点输入包含XSS脚本的字符串,然后在后台http://127.0.0.1/pikachu/vul/xss/xssblind/admin_login.php登录,模拟攻击。 - 使用账号:admin,密码:123456,成功触发弹窗,证明...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
1. **订单系统XSS盲打**:攻击者通过订单系统注入XSS代码,当管理员查看订单详情时,恶意脚本执行,可能窃取敏感信息。 2. **Shell箱子系统XSS盲打**:利用Shell管理工具的输入验证不足,注入XSS,获取服务器控制权...
XSS辅助工具-crx插件
04-02
XSS辅助工具 wooyun原地址:http://zone.wooyun.org/content/7678,我只是大自然搬运工小雷锋~版本权所有 wooyun wiluilu~ 感谢分享,希望继续完善~在线版使用说明:1. 常用XSS转码2. 盲打代码自动输入(f4)3. 可以...
搭建属于自己的xss平台
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台,BlueLotus_XSSReceiver
一个xss转码工具
u012684933的专栏
06-11 1204
在如下地址:http://app.baidu.com/app/enter?appid=280383     很给力哦
【2024版】最新推荐好用的XSS漏洞扫描利用工具
Libra1313的博客
01-25 2151
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
渗透测试-xss钓鱼测试和xss盲打
lza20001103的博客
04-24 2354
渗透测试-xss钓鱼测试和xss盲打
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 5256
平台的网址是:链接:XSS在线平台
xss盲打、过滤、htmlspecialchars、herf输出、js输出
weixin_51446936的博客
06-02 1759
一、XSS盲打 1.盲打概述 “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的xss攻击代码(通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤,那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。 也就是只有从后台才能看到前端输入的内容,从前端无法判断是否存在xss 2.实验演示 第一步:打开pikachu的xss盲打,随便输入信息 第二步:模拟后台管理员,登录后台进行查看(右上角
一次xss的黑盒挖掘和利用过程
weixin_30730151的博客
01-23 205
挖掘过程一: 自从上一次投稿,已经好久好久没写文章了。今天就着吃饭的时间,写篇文章,记录下自己学习xss这么久的心得。在我看来。Xss就是javascript注入,你可以在js语法规定的范畴内做任何事情,js可谓强大,本次结合一次挖掘xss的过程和xss的综合利用来探讨,小菜一枚,希望大牛不吝赐教。文章里的网站打码,大家见谅 我们先看看网站 测试储存型xss的话,黑盒测...
XSS的原理分析与解剖(二)
weixin_34259559的博客
09-09 137
0×01 前言:  上节(http://www.freebuf.com/articles/web/40520.html)已经说明了xss的原理及不同环境的构造方法。本期来说说XSS的分类及挖掘方法。 当第一期出来的时候,反馈很好,但还是有很多人提出疑问,我这里就解答下。 问1:如果我输入PHP语句会不会执行。 答1:不会,因为XSS是面对前台的(用户可见部分),而PHP则是后台处理(用户不...
3-9xss盲打以及盲打实验演示
山兔的博客
04-27 1036
什么是XSS 盲打xss盲打其实不是一种xss漏洞类型,他说的其实是一种攻击场景 也就是说只有后台会看到前端输入的内容。从前端无法判断是否存在XSS,怎么办? 不管3721,往里面插XSS代码,然后等待,可能会有惊喜! 由于是后端,可能安全考虑不太严格,当管理员登录时,就会被X! 我们切换到pikachu上面来,我们在输入框随便输入字符,看一下,他是怎么样的作用 仿佛在说,我们输入的内容,并不会在前端输出,看起来被提交到后台,也就是说,只有管理员,才有可能看到我们输入的内容,其它用户是看不到的,我们
XSS盲打
weixin_44749329的博客
05-19 3554
XSS盲打 XSS盲打:它不是一种XSS漏洞的类型,它其实是一种XSS一种的攻击场景。 以下来实施XSS的一种盲打 1.打开pikachu里的XSS盲打 2.输入一个字符来测一下看它有什么样的作用,点击提交后显示如图这句话 仿佛在说我们输入的内容并不会在前端输出,看起来好像是被提交到了后台,它的管理员有可能会被看,只有他的管理员能看到我输入的内容,前端的用户是看不到的 3.我们来设想一种...
写一个python脚本检测pikachu靶场的xss盲打
06-03
好的,下面是一个简单的 Python 脚本,用于检测 pikachu 靶场的 XSS 盲打漏洞。 ```python import requests # 构造请求 url = "http://your-pikachu-url.com/vulnerabilities/xss_s/" payload = "<script>alert('...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值