XSS过程攻击演示

先扫描目标存在漏洞。扫出了好多XSS

随便找一个测试下,弹窗出来了,可以利用

 

把我们的利用代码转码,以免被浏览器安全策略过滤。

复制转码后的代码,和漏洞地址合一块,生成一个URL。

 

访问URL,自动跳转到我的服务器内攻击页面。

 

打开服务器目录,发现生成了cookie.txt

 

如果把URL发给管理员,得到的就是管理员的cookies了,再用火狐组件cookies manager+修改cookies就能得到网站权限。

91ri.org点评:文章是个好思路 不过貌似截取到cookie再登陆是有限制的吧?不是所有站都可以搞定的 文章仅供大家思路断的时候 目标站又有XSS的时参考。

本文转自crackerban的百度空间 作者:Samae1由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。