Cookie窃取与欺骗

Cookie窃取与欺骗

实验准备:

1、xss平台(http://manshow.xyz/xss)

2、黑客:172.18.199.27

3、目标:172.18.199.112:8005

1、首先,到xss平台构建Cookie注入脚本,获取注入代码

2、找到目标网站的xss注入点(网站留言板),发现存在存储性xss漏洞。于是我们将事先生成好的Cookie代码注入进去,然后等待结果。

3、管理员登陆后台。

4、管理员查看留言审核

5、可以看到,这里其实是什么都没有的,然后我们插入的cookie其实已经被执行了的。我们可以去我们的xss平台看看我们有没有获取到值。

6、事实上,对方的cookie值已经传回来了的

于是,我们开始测试,利用cookie,直接进入网站后台。为了防止原有cookie对我们进行干扰,我们换一个浏览器,并清楚该浏览器的cookie信息。

7、开始往网站注入我们窃取的cookie值,这里我们通过控制台写入:

8、可以看到,我们已经把cookie写进去了,现在就看看我们能否绕过账号密码进入后台吧。登陆172.18.199.112:8005/admin

可以看到,我们很轻易的就绕过了登陆界面直接进入了网站的后台,说明我们注入成功。我们拿到了正确的cookie值信息

本文来自企鹅号 - 智能小抓手媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

腾讯云服务器生成免费快照过程记录

3513
来自专栏iOS122-移动混合开发研究院

【树莓派自动化应用实例】整点提醒自己休息五分钟

背景介绍 ? 我有一个习惯,定闹钟每隔60分钟左右,提醒自己休息一次。我发现自己有时候长时间思考,很容易拘泥于细节之中。适当的简单休息过后,往往会对正在解决和处...

2379
来自专栏Python爬虫与算法进阶

学习Git(一)起步

什么是Git 在Git官网上找到这样一段描述 Git is a free and open source distributed version control...

3266
来自专栏GreenLeaves

Oracle PL/SQL编程之过程

1、简介 过程用于执行特定的操作,当建立过程时,既可以指定输入参数(in),也可以指定输出参数(out),通过在过程中使用输入参数,可以将数据传递到执行部分,通...

1906
来自专栏散尽浮华

crontab日常使用梳理

在日常的运维工作中,对crontab定时任务的制定是再寻常不过的了。根据以往的使用经验梳理如下: 基本格式 : *  *  *  *  *  command 分...

3348
来自专栏花叔的专栏

关于“小程序跳转小程序”功能调整

即日起,若用户未点击小程序页面任意位置,则开发者将无法调用 wx.navigateToMiniProgram 接口自动跳转至其他小程序。

681
来自专栏架构师之路

无线APP日志上报优化实践

昨天,和大家讨论了无线APP时代如何进行DNS速度优化,今天和大家一起讨论一下无线时代的日志上报流量优化。 缘起:无线时代,APP流量敏感,为了统计APP内用户...

51716
来自专栏一名叫大蕉的程序员

企业神奇中间件-RPC(总览) No.97

1231
来自专栏企鹅号快讯

Web前端安全之跨站脚本攻击实战

Web前端安全之跨站脚本攻击(XSS)实战 本人入职后即加入公司的某个内部项目开发,在开发的过程中,本人发现,可能是内部项目的原因,不管是前端研发人员还是后端研...

2565
来自专栏高性能服务器开发

关于即时通信服务器架构的一些思考

对于一个即时通信服务器来说,在用户量少的时候,一台服务器就足以提供所有的服务。而这种架构也最简单,举个例子,用户A与用户B互为好友,A向B发消息,服务器接收到消...

2765

扫码关注云+社区