8.XSS盲打

最新推荐文章于 2025-02-14 23:17:43 发布

愿听风成曲

最新推荐文章于 2025-02-14 23:17:43 发布

阅读量441

点赞数 1

分类专栏：网络安全web测试之xss 文章标签： xss 前端盲打

曲云龙

本文链接：https://blog.youkuaiyun.com/weixin_46253249/article/details/139701485

版权

网络安全web测试之xss 专栏收录该内容

16 篇文章

订阅专栏

XSS盲打

XSS盲打就是攻击者在前端提交的数据不知道后台是否存在xss漏洞的情况下，提交恶意JS代码在类似留言板等输入框后，所展现的后台位置的情况下，网站采用了攻击者插入的恶意代码，当后台管理员在操作时就会触发插入的恶意代码，从而达到攻击者的目的。

管理员后台：  http://http://192.168.0.101/pikachu/vul/xss/xssblind/admin_login.php

首先在xss盲打界面输入攻击代码和随意的大名提交即可
在这里插入图片描述

然后登录管理后台地址，或者在pikachu的右上角有一个管理员的登录地址：

管理员后台：  http://http://192.168.0.101/pikachu/vul/xss/xssblind/admin_login.php 
账号：admin
密码：123456

管理员界面直接会弹出xss界面

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

愿听风成曲

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

xss之盲打、过滤、htmlspecialchars、herf输出、js输出

weixin_51446936的博客

06-02

2298

一、XSS之盲打 1.盲打概述 “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，网站采用了攻击者插入了带真实攻击功能的xss攻击代码（通常是使用script标签引入远程的js）的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。也就是只有从后台才能看到前端输入的内容，从前端无法判断是否存在xss 2.实验演示第一步：打开pikachu的xss盲打，随便输入信息第二步：模拟后台管理员，登录后台进行查看（右上角

服务器搭建XSS盲打平台，绕坑

CC__Faker的博客

05-07

1685

文章目录环境介绍环境搭建平台搭建平台使用环境介绍本次搭建环境采用的是ubuntu20，php，apache2，无需数据库 XSS平台项目名称：BlueLotus_XSSReceiver 项目地址：https://github.com/trysec/BlueLotus_XSSReceiver 环境搭建 sudo apt update 更新源 sudo apt install apache2 安装apache sudo systemctl status apache2 查看apac

参与评论您还未登录，请先登录后发表或查看评论

什么是xss盲打

weixin_34334744的博客

10-26

148

什么是xss盲打？盲打仅仅是一种惯称的说法，就是不知道后台不知道有没有xss存在的情况下，不顾一切的输入xss代码在留言啊，feedback啊之类的地方，尽可能多的尝试xss的语句与语句的存在方式，就叫盲打。 “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，站点採用了攻击者插入了带真实攻击功能的xss攻击代码（一般是使用script标签引入...

XSS盲打

weixin_44749329的博客

05-19

4245

XSS盲打 XSS盲打：它不是一种XSS漏洞的类型，它其实是一种XSS一种的攻击场景。以下来实施XSS的一种盲打 1.打开pikachu里的XSS的盲打 2.输入一个字符来测一下看它有什么样的作用，点击提交后显示如图这句话仿佛在说我们输入的内容并不会在前端输出，看起来好像是被提交到了后台，它的管理员有可能会被看，只有他的管理员能看到我输入的内容，前端的用户是看不到的 3.我们来设想一种...

XSS盲打：当攻击者“盲狙”管理员

m0_58442919的博客

02-14

946

XSS盲打并不是一种新的漏洞类型，而是一种攻击场景。攻击者输入的内容不会在前端显示，而是可能被后台管理员看到。换句话说，攻击者看不到自己的输入是否被执行，只能“盲狙”管理员。XSS盲打的本质是存储型XSS漏洞，因为攻击者输入的内容被存储在服务器上，并在管理员查看时输出到页面。如果后台没有对输入内容进行过滤或转义，恶意脚本就会被执行。XSS盲打是一种“盲狙”式的攻击方式，攻击者看不到前端的反馈，但却可能一击致命，直接拿下管理员权限。

xss盲打（通过xss盲打盗取管理员账号和密码！）

qq_43814486的博客

05-03

6829

原理：其实和一般的xss原理是一样的，不同的地方在于xss盲打的结果你看不到，你不知道它是否存在xss漏洞，因为xss盲打的结果是显示在管理员后端的，但是这并不意味着不存在xss漏洞！只要payload被执行，就存在漏洞！上面说了一大堆，现在来点干东西！我要通过xss盲打这种漏洞盗取他们管理员的账号和密码！！！操作如下： 1，我输入的payload： <script>documen...

XSS盲打演示和讲解；XSS绕过思路讲解和案例演示；XSS绕过关于htmlspecialchars()函数；XSS常见防范措施

qq_44696653的博客

05-04

1017

XSS盲打演示和讲解当只有后台会看到前端输入的内容而前端无法判断是否存在XSS时，我们可以插入XSS代码。这个时候由于后端的安全考虑往往不会很严格，所以当管理员登陆的时候就会被X。在pikachu上具体的实验演示； 1.在XSS盲打模块根据前端的提示输入相关信息，发现输入的信息只会反馈给后台，在前端无法显示。这里就可以不管别的直接输入跨站脚本的内容例如：<script>alert...

xss盲打

最新发布

03-18

XSS盲打指的是攻击者无法直接看到自己所提交数据的具体呈现效果但仍尝试发起攻击的情形。例如，在某些情况下，攻击者可能会试图窃取管理员账户的信息却不知道自己的输入是否会成功显示出来[^2]。对于上述提到的...

XSS漏洞---XSS盲打

Ethan024的博客

03-13

352

XSS漏洞（本文仅供技术学习与分享） XSS盲打实验准备：皮卡丘靶场；实验步骤：输入无害字符串来查看效果，发现该字符串已经提交到后台；输入一个JavaScript脚本 — alert(2222) 发现也并没有弹框 3. 登录管理员界面查看后台，发现登录就会弹框 4. 其本质就是XSS存储型漏洞。 ...

xss的盲打以及盲打实验演示

北冥有鱼

04-22

2363

什么是xss盲打？我们直接来到ipkachu的xss盲打页面进行演示我们随便输入几个字符发现我们的输入不会在前端输出，只会在后台输出，只有管理员能看到我们的内容我们按照之前的思路输入一下payload，当然前端也没有输出我们点一下提示会发现有登陆后台的地址，那我们就去登陆一下这个后台登录进去后发现刚才的payload果然被插入进去了这种情况其实就属于xss盲打，这个漏洞...

XSS盲打与cookie劫持

m0_74249600的博客

08-14

1349

本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践，请关注持续更新（本文部分内容来自课件，如有版权问题请与我联系）

pikachu靶场第十关——XSS（跨站脚本）之xss盲打（附代码审计）

yzasts的博客

03-21

788

和之前的存储型xss不同，这里提交的数据并不会返回到页面中，而是提交到后台，在无法登录后台的情况下，就只能盲打。不过这里为了学习漏洞，我们直接登录后台，用户名：admin，密码：123456。这里有两个输入，一个content，一个name。

关于xss盲打关于xss盲打

u012614598的专栏

11-21

1095

关于xss盲打关于xss盲打　　　　又到了各种年终总结的时候了，先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时，我给的答案是“xss盲打”! 　　关于“盲打”这个词语的出现，最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》，由此xss盲打火了起来，

Pikachu靶场：XSS盲打

witwitwiter的博客

04-17

2332

Pikachu靶场：XSS盲打实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场实验原理 ●xss盲打也是属于存储型XSS类型盲打的意思是无法直接在前端看到反馈效果。 xss盲打类型交互的数据会被存在在数据库里面，永久性存储，一般出现在留言板，问卷调查等页面。形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格，导致“精心构造”的脚本输入后，在输到前端时被浏览器当作有效代码解析执行从而产生危害。存储型XSS漏洞跟反射型形成的原因一样，不同的是存储型XSS下攻击者可以

XSS盲打、绕过

0xcc'Blog

04-28

3609

#0x00:XSS盲打尽可能地于一切可能的地方提交XSS语句，只要后台管理员看到某一条语句，此语句就能被执行。可以再留言板上留下获取cookie的代码，只要管理员在后台看到，就能获取管理员的cookie。 #0x01:XSS绕过通常有以下几种方法 0.前端限制——抓包重放/直接F12修改前端代码 1.大小写——<SCriPt>AleRt(test)</ScRipt&...

XSS跨站脚本攻击之——XSS盲打

温柔小薛的博客

04-05

829

XSS盲打 XSS盲打就是攻击者在前端提交的数据不知道后台是否存在xss漏洞的情况下，提交恶意JS代码在类似留言板等输入框后，所展现的后台位置的情况下，网站采用了攻击者插入的恶意代码，当后台管理员在操作时就会触发插入的恶意代码，从而达到攻击者的目的。方法 ‘’‘><script>alert('123')</script>+攻击代码在文本框提交 ...

pikachu靶场--XSS--盲打/过滤/htmlspecialchars/href输出/js输出【2.6】~【2.10】

lmei1228的博客

06-08

329

alert('xss')