XSS学习：利用XSS平台，截取用户COOKIE

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

目录

XSS 中常用的小工具

利用免费 XSS 平台，获取COOKIE

---

 

XSS 中常用的小工具

   • Hackbar

   • Firebug

   • Tamper Data

   • Live HTTP Headers

   • Editor Cookie

 

利用免费 XSS 平台，获取COOKIE

首先网上随便找个XSS平台，或自己搭建一个XSS平台

CE 用的XSS 平台，以下是链接地址和安装教程：

下载地址：https://github.com/firesunCN/BlueLotus_XSSReceiver

安装地址：https://blog.csdn.net/God_XiangYu/article/details/99495505

安装教程步骤，如果觉得麻烦，可以直接安装集成环境Xmapp ，直接把下载好的源代码解压缩丢到 htdocs（网页默认存放解析的路径） 下

先确认本机IP 地址是多少

然后登陆XSS 平台利用已有的js代码，构造获取COOKIE的payload，记住要把payload 中获取到COOKIE，COOKIE值要反弹到哪里

配置公共模板default.js，修改js代码中的网站地址为http://服务器IP地址/index.php

最后，找到之前测试存在持久性注入的节点，将js 恶意代码上传上去，等用户访问这个页面，我们就可以获取当前访问该页面用户浏览器的COOKIE值

这里用dvwa 做演示，先将dvwa 防御等级为low

打开XSS(Refkected)页面，将刚刚生成的payload ，上传上去

然后会在XSS平台又下脚，弹框提示你收到一封邮寄的信息，你打开就可以看到获取的COOKIE

 

验证以下，利用刚刚获取的COOKIE，是否可以登录成功

OK，搞定，成功利用获取到的COOKIE登录成功

    好了，演示结束，这里还有很多其它的模块，后续CE再深入学习！有兴趣的朋友可以私底下去学习了解哈

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---