写点什么

渗透新手福利 ---xss 到获取 cookie 入门级

用户头像
H
关注
发布于: 2 小时前
渗透新手福利---xss到获取cookie入门级

CV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量


通过对 Tips 的读取我们明白了这题是一道存储型 XSS 偷取 cookie 的题目。(因为 flag 在 cookie 中,XSS BOT 每 10 秒就带着有 flag 的 cookie 去访问查看留言的页面)

既然是存储型 XSS,那么我们先用弹窗去尝试那么就开始插入


把能插的地方都放了一遍因为我们不知道哪里可以插入成功

然后提交


弹窗说明我们插入成功右击审查元素看看是哪里提交成功了


这里执行了我们的 js 脚本接下来我们用 xss 平台获取他的 cookie

点击创建项目然后我们把他命名为 H 描述可以不填然后点击下一步


记得选取这两个模块

这个插到我们刚刚实验可以执行脚本的地方然后点击下面的完成


插入成功 没显示说明是执行了我插入的语句。我们可以在谷歌浏览器可以选择到 Sources,然后就可以看到了网页加载了 xsspt.com 说明 XSS 成功

然后返回我们 xss 平台查看

成功了 然后我们来用这个 cookie 进行登入不要输入账号密码 我们用 burp 进行抓包

把这个 cookie 换成我们刚刚抓到的管理员的 cookie

然后点击下一步

登入成功


用户头像

H

关注

还未添加个人签名 2021.07.04 加入

想白嫖网安学习资料的,扣我

评论

发布
暂无评论
渗透新手福利---xss到获取cookie入门级