pikachu靶场：反射型xss（get）和（post）

最新推荐文章于 2025-03-05 16:49:56 发布

爱吃芹菜呀

最新推荐文章于 2025-03-05 16:49:56 发布

阅读量266

点赞数 2

分类专栏： pikachu靶场通关详解文章标签： xss 前端

本文链接：https://blog.youkuaiyun.com/weixin_74754014/article/details/144776323

版权

pikachu靶场通关详解专栏收录该内容

6 篇文章

订阅专栏

是否存在xss漏洞，我们可以先输入一些特殊符号和一些字符来验证。

xss(get):

我们先输入“#，123<>”,

发现没有对信息就行过滤，那么我们直接写一个弹框试试：

如果点“提交”出现弹框显示123就说明有漏洞存在。

但是我们发现，输入长度有点，那有个小技巧我们进入前端修改长度就好

按F12然后跟着图片步骤就行了

我们把长度20改为200就可以了

页面弹出123所以存在漏洞

有些人会觉得这个漏洞很鸡肋，因为页面刷新就又回复正常了，但是我们可以利用这个漏洞获取这个平台的其他信息比如我们让他弹出document.cookie

如果是新手慢慢来吧

xss(post)就是多了个破解密码，前面讲的有忘了的话可以在去看一下：

https://blog.youkuaiyun.com/weixin_74754014/article/details/144696904

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

爱吃芹菜呀

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

5.XSS-反射型(post)利用：获取cookie

愿听风成曲

06-23

507

需要修改以下两个地址，第一个地址是将原界面的样子链接过来，让用户认为是原界面，第二个是将cookie从数据库中提取出来的程序（注意和自己的目录相对应）然后将url：www.pikachu.net/post.html发给用户访问，会直接跳转到post型链接上；将post.html文件，复制到皮卡丘的根路径下或者根下随意路径即可，并编辑文件。文件路径：\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网站去访问。基于IP地址配置文件。

【网络攻防】“跨站脚本攻击“ 第一弹 ——反射型XSS

翼安研习社的博客

01-28

2538

撰稿｜谢泳编辑｜王聪丽信息收集｜谢泳** 目录1. 初识XSS2. 反射型XSS2.1 Cookie劫持2.2 Get请求2.3 Post请求3. 防御方式 1. 初识XSS 跨站脚本攻击（Cross Site Script, XSS）是利用web前端代码注入来篡改页面，执行恶意脚本，达到窃取数据、冒充身份等目的的攻击方法。浏览器根据HTML代码解析页面，现在的HTML中可以有很多JavaScript脚本，XSS攻击则是利用前端代码的漏洞，插入恶意代码。 XSS攻击者必须有一定的JavaScri.

参与评论您还未登录，请先登录后发表或查看评论

Pikachu靶场：反射型XSS(post)

witwitwiter的博客

04-07

4834

Pikachu靶场：反射型XSS(post) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场实验原理 ●反射型 交互的数据一般不会被存在在数据库里面，一次性，所见即所得，一般出现在查询类页面等。形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格，导致“精心构造”的脚本输入后，在输到前端时被浏览器当作有效代码解析执行从而产生危害。跨站脚本漏洞测试流程 1.在目标站点上找到输入点，比如查询接口,留言板等; 2.输入一组“特殊字符+唯一识别字符”，点击提交后，查看返回

pikachu靶场练习系列（二）XSS（跨站脚本攻击）

最新发布

jouranx的博客

03-05

614

存储型XSS（Cross-Site Scripting）漏洞是一种常见的网络安全威胁，它允许攻击者将恶意脚本注入到网站的数据库中，当其他用户访问受影响的页面时，这些脚本会在他们的浏览器中执行。这种攻击的危害性在于其持久性和隐蔽性，因为恶意脚本被存储在服务器上，每当页面被加载时，脚本就会自动执行。关键点：关注数据存储和渲染的过程，确保恶意脚本能够被持久化存储并最终在页面中执行。xss形成原因是程序对输入和输出控制不够严格，导致“精心构造”的脚本输入后，在输出到前端时被浏览器当作有效代码解析执行而产生的危害。

pikachu--xss

鲨鱼辣椒的博客

05-12

5150

XSS概述 XSS全称跨站脚本（Cross Site Scripting）是web中最为常见的漏洞之一，也是危害特别大的一种漏洞，一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤，造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行（类似于SQL注入），从而产生危害。xss漏洞危害的对象主要是前端用户，并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS（窃取cookie）攻击流程 .

pikachu靶场练习之XSS（反射型XSS）

qq_45795768的博客

10-01

1075

get型xss的思路是找到存在漏洞的站点，设置一个含有恶意js的payload（比如获取cookie），制作成一个url，将这个url发送给需要攻击的对象，一旦对象点击，就会触发这个payload。post型xss的思路是伪造一个自动提交的页面，html文件里包含了payload，我们只需要吸引被攻击者访问这个页面，就能实现我们的的攻击。

XSS总结

weixin_51356351的博客

11-19

1659

xss理解 1、简介 xss(cross site script)跨站脚本攻击，为了避免与css混淆，所以简称为xss。 2、什么是xss xss全称叫跨站脚本攻击，因为应用使用了js框架，因为应用未做任何防御措施，导致了攻击者使用对应的payload进行攻击，受害者运行了攻击者的payload，将攻击者所需的cookie发送给了攻击者，最本质的是服务器并没有完全过滤客户端提交的数据 3、xss的危害大吗？答：很大，是现在web中主流的攻击方式。 4、xss攻击都可以导致哪些危害（1）钓鱼欺骗（2）网

Pikachu第二弹：XSS

Pisces_mango的博客

08-14

1988

一、反射型xss（get） 1.输入语句，发现有长度限制，按F12，修改源码字符长度 2.输入语句 3.出现弹窗二、反射型xss（post） 1.输入账号密码登录 2.登录XSS后台，然后搭建恶意站点这里是以POST的方式提交的，参数内容不会出现在URL中，这时候我们不能直接把我们的恶意代码嵌入到URL中，我们需要自己搭一个恶意站点，然后在网站上放一个post表单，将存放post表单的链接发送给受害者，诱导受害者点击这个post表单会自动向漏洞服务器提交一个POST请求，实

pikachu靶场-XSS

braty_的博客

02-21

1692

这里是用get请求做了一个长度的限制，我们使用hackbar来进行传参，页面会弹出一个xss，证明存在xss漏洞，我们顺便讲一下 beef-xss工具。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理，导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。在输入框随便输入 11 ，F12 可以看见，11 被添加在了标签里面(html的超链接标签)XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASP TOP10的排名中一直属于前三的江湖地位。

pikachu漏洞练习第二章节反射型xss（get，post）练习收获

kaka6764的博客

08-27

2195

观察输入错误回答时弹出的提示，我们可发现弹出的提示中会把我们输入的内容（比如这里输入了错误答案x）连带提示信息一起输出在网页上。这样对比可知，利用我们保存下来的网址，我们成功利用网页xssget漏洞制造了一个执行脚本，用户点击我们保存的网址并不会像正常的网页一样显示网页提示，而是显示我们设定好的提示xssget。先在网页输入内容测试可见在输入空数据时网页提示和输入错误数据时网页提示，当根据网页提示输入kobe时，网页返回提示和图片。提交后可见网页弹出提示框，内容为xssget，即我们输入的代码内容。

XSS漏洞：pikachu靶场中的XSS通关

qq_68163788的博客

05-25

2271

在pikachu靶场中的XSS通关是一种漏洞攻击技术，通过在输入框中注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场中，攻击者可以通过输入恶意代码实现跨站脚本攻击，从而获取敏感信息或者控制网页行为。要防范XSS漏洞，网站开发者应该对用户输入进行严格过滤和验证，避免恶意代码的注入。

Pikachu靶场之XSS漏洞详解

Nai_zui_jiang的博客

08-22

1197

跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览页面时，攻击者插入在页面的Script代码会被解析执行，从而达到恶意攻击的目。

pikachu靶场：二、XSS 跨站脚本攻击

qq_43233085的博客

01-29

876

必火靶场：二、XSS 跨站脚本攻击XSS（跨站脚本）概述 XSS（跨站脚本）概述 Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。一般XSS可以分为如下几种常见类型：反射性XSS; 存储型XSS; DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASP TOP10的排名中一直属于前三的江湖地位...

XSS跨站脚本攻击之——反射型XSS（post）获取用户密码

温柔小薛的博客

04-05

2615

反射型XSS（post）获取用户密码跟反射型（get)的不同之处 post是无法在URL中插入payload的是需要插入内容到数据包的那么如何将数据包这种类型的攻击发送给用户呢通过html页面方式提交，构造一个自己的post 丢到自己的网站上 get型xss是直接更改URL就可以了，可以直接在参数后加payload pikachu\pkxss\xcook...

反射型 XSS 攻击演示（附链接）

Flag少侠的博客

01-22

3616

反射型 XSS 攻击演示（附链接）

第七周作业 1.dom型XSS详解及演示 2.cookie获取及xss后台使用 3.反射型XSS(POST) 4.xss钓鱼演示 5.xss获取键盘记录演示

weixin_43899561的博客

04-21

1979

1.dom型XSS详解及演示一、什么是DOM?怎么理解DOM? DOM全称是Document Object Model，也就是文档对象模型。我们可以将DOM理解为，一个与系统平台和编程语言无关的接口，程序和脚本可以通过这个接口动态地访问和修改文档内容、结构和样式。当创建好一个页面并加载到浏览器时，DOM就悄然而生，它会把网页文档转换为一个文档对象，主要功能是处理网页内容。故可以使用 Javasc...

pikachu靶场XSS学习

quan9i的博客

04-11

2182

反射型XSS（get）存储型XSSDOM型XSSDOM型XSS -Xxss盲打xss之过滤方法二XSS之htmlspecialcharsXSS之href输出XSS之js输出

Pikachu-XSS通关攻略

qq_65852138的博客

08-22

961

Pikachu-XSS通关攻略

pikachu漏洞靶机之xss漏洞post提交方式

weixin_44110913的博客

03-05

689

我们要使用户提交post表单，我们需要让用户去访问一个页面，这个页面的作用就是使用户提交post表单，页面内容如下：这段代码的意思就是，当用户访问页面的时候会自动以post的方式提交漏洞页面的cookie，提交的值就是value，在这里我们给value一段代码，代码的作用就是窃取cookie。 form表单中的action属性的意思是我们需要把数据（value）提交给action所值的页面。我们...

pikachu靶场反射型xss post爆破

02-25

### Pikachu靶场反射型XSS攻击的POST请求爆破方法 #### 准备工作为了成功实施针对Pikachu靶场中的反射型XSS攻击，了解目标环境至关重要。Pikachu是一款设计用于教育目的的应用程序，其中包含了多种常见的Web安全...