基于dvwa的存储性xss获取其中的cookie分享篇_dvwa 中xss获取不到cookie

首先我们启动靶场，把难度级别调整到low,然后选择存储xxs,进入页面

low模式：

 标红的两个地方可以进行测试，但是我们发现第一个和第二个输入框里好像输入被限制了，所以我们需要按下F12进行调整数值，切记调整一次就是一次，不是永久。

如果是使用火狐浏览器的选手，可以按下F12后在搜索栏中输入Name ，然后连续三次回车也就是我标红的地方把数字10进行更改即可

 更改后我们就可以输入代码，来获取cookie，因为这是一个存储性的xss,一般情况下它会一直存在，除非重启数据库或清空留言才会消失

输入此行命令即可：

<script>alert(document.cookie)</script>

然后就可以弹出cookie了

 medium模式下：

上源码，看看跟之前的源码有什么不同的地方

我们要尤其注意这句话

$name = str_replace( '<script>', '', $name )；

意思就是把<script>替换成空值，这个跟反射着型的xss的代码源码类似，所以我们可以把<script>进行复写，输入这行代码即可

<scr<script>ipt>alert(document.cookie)</script>

或者大小写混写也可：

<sCript>alert(document.cookie)</scRipt>

上诉任意一句代码即可，有写小伙伴看到这会发现输入框被限制的问题，看上面既可以戒除，戒除后可以输入代码即可

 high模式下：

<body onload=alert(document.cookie)>

然后就弹出来了

impossible

什么impossible不impossible的，东说西说产生幻觉；谨记：万物皆可抓包。打开你的老bp,拍一拍灰。