如上圖,我們獲取到了cookie,接下來利用cookie登錄相應的網站。
我用的瀏覽器是火狐,首先在特定的網站(也就是我們發現XSS漏洞的網站,這里指的是pikachu)F12打開開發者工具,找到控制台,在最下面輸入:
document.cookie = "PHPSESSID=ku7dfhu5cbidad45lsu6d1oabd";
一般會有一個提示:不允許我們粘貼,我們先在命令行輸入 allow pasting即可粘貼了
之后刷新頁面即可偽造受害者的身份進行登錄。
因為這里用的是pikachu平台,並不會有登錄成功的彈框或者提示,也不需要賬號密碼,我只是演示一下利用cookie登錄的過程,如果搭建了DVWA平台的使用DVWA效果會更清晰一些。