设为首页收藏本站

【靶场练习】从xss打管理员cookie到服务器提权

  [复制链接]
  • TA的每日心情
    慵懒
    4 天前
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2018-9-20 15:49:08 | 显示全部楼层
    xss是什么啊,还有怎么获取管理cookie
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    昨天 16:34
  • 签到天数: 227 天

    [LV.7]常住居民III

    发表于 2018-9-20 16:05:55 | 显示全部楼层
    这个靶场是掌控安全发布的,我记得暑假就把这个靶场过了,没有什么技术可言
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    5 天前
  • 签到天数: 21 天

    [LV.4]偶尔看看III

    发表于 2018-9-20 16:20:17 | 显示全部楼层
    感谢楼主分享!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2018-10-1 22:30
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2018-9-20 16:25:01 来自手机 | 显示全部楼层
    感谢大佬的分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 16:29:22 来自手机 | 显示全部楼层
    飞猪团队521 发表于 2018-9-20 16:05
    这个靶场是掌控安全发布的,我记得暑假就把这个靶场过了,没有什么技术可言

    昨天才知道这个靶场,感觉用来给新人练手是非常不错的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 16:36:46 来自手机 | 显示全部楼层
    Bax_Max 发表于 2018-9-20 15:49
    xss是什么啊,还有怎么获取管理cookie

    xss就是跨站脚本攻击,可以简单理解为利用脚本获取这个站点的信息发送到另一站点(xss平台),一般可以用来获取管理员的cookie
    cookie就是一个代表你身份的东西,有些站点有"记住密码"的功能,其实就是把你的登录生成的cookie保存在本地,下次登录就不用输入账号密码登录了,也就是说,你获得的cookie就可以代表你这个用户,不用输入账户密码,直接用cookie来登录网站就行,那么如果获取到了管理员的cookie,那就可以不用知道他的密码,直接用管理员cookie去登录网站后台,这样也是可以成功登录进去的

    大概就是这样了
    具体的你可以百度去了解一下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 16:38:57 来自手机 | 显示全部楼层
    Bax_Max 发表于 2018-9-20 15:49
    xss是什么啊,还有怎么获取管理cookie

    用xss获取管理员的cookie,去xss平台注册一个账户,然后在网站留言板之类的地方插入构造的xss脚本,如果管理员触发了,xss平台就会收到信息,里面就会有管理员的cookie
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 16:40:50 来自手机 | 显示全部楼层
    zhonggjr 发表于 2018-9-20 14:40
    大神,上传一句话的地方在哪里。提醒一下啊。小白。

    具体在哪里我也记不清了,你自己找找,有上传点的地方就行
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    前天 17:41
  • 签到天数: 52 天

    [LV.5]常住居民I

    发表于 2018-9-20 16:58:38 | 显示全部楼层

    大神。这就去复现一下。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    4 天前
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2018-9-20 17:01:57 | 显示全部楼层
    Assassins、小白 发表于 2018-9-20 16:36
    xss就是跨站脚本攻击,可以简单理解为利用脚本获取这个站点的信息发送到另一站点(xss平台),一般可以用来 ...

    你说的那个留言区插入xss能给个具体代码不,获取cookie用什么工具啊,纯小白
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    昨天 00:02
  • 签到天数: 63 天

    [LV.6]常住居民II

    发表于 2018-9-20 17:06:24 | 显示全部楼层
    这是在搞破坏吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 17:28:07 来自手机 | 显示全部楼层
    714367540 发表于 2018-9-20 17:06
    这是在搞破坏吗?

    靶场,不是真实环境,用来练习的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

     楼主| 发表于 2018-9-20 17:31:01 来自手机 | 显示全部楼层
    Bax_Max 发表于 2018-9-20 17:01
    你说的那个留言区插入xss能给个具体代码不,获取cookie用什么工具啊,纯小白

    去注册个xss平台,里面新建项目后会给你代码,用它给你的代码插留言板就行
    平台自己去百度找个不需要邀请码的注册
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 55 天

    [LV.5]常住居民I

    发表于 2018-9-20 17:37:11 | 显示全部楼层
    尝试下复现到时可以
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 31 天

    [LV.5]常住居民I

    发表于 2018-9-20 18:00:13 | 显示全部楼层
    谢谢大佬分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /1 下一条

    红盟社区--中国红客联盟 

    Processed in 0.098547 second(s), 28 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表