渗透测试-xss钓鱼测试和xss盲打

xss钓鱼测试和xss盲打

前言

一、什么是xxs钓鱼测试和盲打

首先就是我们遇到可以进行注入的方框，可以注入一个js代码构造登录页面，然后就可以将登录信息发送到我们的xss后台中。

xss盲打就是在不知道是否存不存在xss漏洞的情况下，进行注入代码进行测试，然后如何存在，就可以进行注入js代码进行攻击。

二、xxs钓鱼测试和盲打获取用户登录信息

1. xss钓鱼测试

这里我们进入存储型xss实验

我们发现方框，进行注入js代码，输入

进行代码审计可知

我们发现代码出现了发送认证框，并将信息传送到后台


提交后出现登录框，输入默认密码

进行登录后，就那个入后台查看钓鱼结果

结果我的没有出现，比较上面的是师傅出现的结果，哥哥姐姐们可以尝试一下，实验结束。

2. xss盲打

进行实验xss盲打实验

这里试试看有没有xss漏洞，在方框里注入js代码，这里我注入万能xss代码

我们注入代码进行提交

然后进入管理员后台进行登录，用默认账号和密码进行登录
admin,123456
http://192.168.222.4/pikachu/vul/xss/xssblind/admin_login.php


进入之后，发现弹出了方框，说明存在xss漏洞
![在这里插入图片描述](https://img-blog.csdnimg.cn/b358e89076ae42b7a53aaaf4b31c0c6c.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYn
实验结束，也算盲打成功了。

总结

本次实验是对xss钓鱼页面和盲打进行了练习，也在今后进行渗透测试过程中对xss的利用和攻击中更能灵活运用。