xss到获取cookie入门级大佬勿喷
TCV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量
通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)
既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入<script>alert('HQDGG')</script>
把能插的地方都放了一遍因为我们不知道哪里可以插入成功
然后提交
弹窗说明我们插入成功右击审查元素看看是哪里提交成功了
这里执行了我们的js脚本
接下来我们用xss平台获取他的cookie
点击创建项目然后我们把他命名为H描述可以不填然后点击下一步
记得选取这两个模块
这个插到我们刚刚实验可以执行脚本的地方
然后点击下面的完成
插入成功
没显示说明是执行了我插入的语句。我们可以在谷歌浏览器可以选择到Sources,然后就可以看到了网页加载了xsspt.com说明XSS成功
然后返回我们xss平台查看
成功了
然后我们来用这个cookie进行登入不要输入账号密码
我们用burp进行抓包
把这个cookie换成我们刚刚抓到的管理员的cookie
然后点击下一步
登入成功
通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)
既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入<script>alert('HQDGG')</script>
把能插的地方都放了一遍因为我们不知道哪里可以插入成功
然后提交
弹窗说明我们插入成功右击审查元素看看是哪里提交成功了
这里执行了我们的js脚本
接下来我们用xss平台获取他的cookie
点击创建项目然后我们把他命名为H描述可以不填然后点击下一步
记得选取这两个模块
这个插到我们刚刚实验可以执行脚本的地方
然后点击下面的完成
插入成功
没显示说明是执行了我插入的语句。我们可以在谷歌浏览器可以选择到Sources,然后就可以看到了网页加载了xsspt.com说明XSS成功
然后返回我们xss平台查看
成功了
然后我们来用这个cookie进行登入不要输入账号密码
我们用burp进行抓包
把这个cookie换成我们刚刚抓到的管理员的cookie
然后点击下一步
登入成功
评论49次
楼上各位大佬xi望善待萌新,毕竟大家都是从萌新过来的
这个XSS平台还是很不错的http://xssye.com
这........有点水了吧.....
xsspt.com这个平台怎么样,对比60.wf
xsspt的邮箱发信功能好像不能用了,收不到消息
什么平台,以前用的xssnet封了
这个练xi平台,还是适合新手的吧
标题很不错,我以为是什么新姿势~结果进来我看到了如此中规中矩的XSS,有点失望
比赛里面的靶机就不要往外发了,没什么技术含量
标题很xi引人,但是内容嘛。。
中规中矩无亮点。。alert可以 1,2,3,4,5这样弹出来就知道那个位置可以插
这不是掌控安全的那个入门靶场吗?
入门教程,谢谢楼主
一时语塞...
这个后端对xss毛都没有过滤一根的吗
老哥进入xss坑之后会发现大世界,可以找个xss绕过平台修炼成大神。
支持一下新人,这个标题厉害了,很多靶场用火狐插件不错哦。
某个靶场。打扰了。加油。哈哈哈
新人应该支持的
这个土司的小伙伴应该都懂吧。。。。。