xss到获取cookie入门级大佬勿喷
TCV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量
通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)
既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入<script>alert('HQDGG')</script>
把能插的地方都放了一遍因为我们不知道哪里可以插入成功
然后提交
弹窗说明我们插入成功右击审查元素看看是哪里提交成功了
这里执行了我们的js脚本
接下来我们用xss平台获取他的cookie
点击创建项目然后我们把他命名为H描述可以不填然后点击下一步
记得选取这两个模块
这个插到我们刚刚实验可以执行脚本的地方
然后点击下面的完成
插入成功
没显示说明是执行了我插入的语句。我们可以在谷歌浏览器可以选择到Sources,然后就可以看到了网页加载了xsspt.com说明XSS成功
然后返回我们xss平台查看
成功了
然后我们来用这个cookie进行登入不要输入账号密码
我们用burp进行抓包
把这个cookie换成我们刚刚抓到的管理员的cookie
然后点击下一步
登入成功
通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)
既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入<script>alert('HQDGG')</script>
把能插的地方都放了一遍因为我们不知道哪里可以插入成功
然后提交
弹窗说明我们插入成功右击审查元素看看是哪里提交成功了
这里执行了我们的js脚本
接下来我们用xss平台获取他的cookie
点击创建项目然后我们把他命名为H描述可以不填然后点击下一步
记得选取这两个模块
这个插到我们刚刚实验可以执行脚本的地方
然后点击下面的完成
插入成功
没显示说明是执行了我插入的语句。我们可以在谷歌浏览器可以选择到Sources,然后就可以看到了网页加载了xsspt.com说明XSS成功
然后返回我们xss平台查看
成功了
然后我们来用这个cookie进行登入不要输入账号密码
我们用burp进行抓包
把这个cookie换成我们刚刚抓到的管理员的cookie
然后点击下一步
登入成功
关于作者
评论49次
虽然比较基础,凡事不知道为啥评论隐藏,这是别人踩你的主要原因把
这大兄dei被踩死了?
很难想想一个坛龄800+天的人会发这么一个帖子,你确定不是来划水的吗????
什么情况 ,一个人就这样被深埋进板砖里面了。。
这啥主题这么多人踩还要买
想土币想疯了 吧
看个贴都要10tubi?
作者可见是什么操作啊,这样想探讨也不行了!!!!!!!!!!
这文章好像在圈子里见过,
加油,兄弟。。。估计你这帖子要被踩死,这里的大哥都比较厉害,发基础的不得行的
是排版的问题吗?楼主发了2遍?
我也不知道编辑下保存就这样了编辑几次就会出现几次
腾讯课堂掌控安全免费靶场的题目...
是排版的问题吗?楼主发了2遍?
挺厉害的
额 一句话总结 就是一个XSS 成功然后进去么- -
入门教程,谢谢楼主
一时语塞...
新人应该支持的
老哥 他八百多岁的新人 不能再支持了
是被标题xi引过来的
居然被踩了10次,2333333,再下去要踩死了啊。入门之后多了解一下js编码,html编码的使用场合,了解下浏览器解码原理,了解下DOM构造,innerhtml?createElement? 拼接? 看不到的输入点比如图片链接?burp抓一下能看到的参数都能尝试一下。再下来深入了解JS源码,有什么可控变量,再试试flsh??
虽然简单,但是为后期拓展奠定了基础