xss权限维持

  • 打开xss平台
  • 创建打cookie的payload,默认的即可

  • 复制xss代码
  • 这里我们只需要复制js部分,因为我们是直接写入,所以不需要闭合

  • 打开中国蚁剑连接webshell
  • 将js复制到登陆后的页面保存
    为什么要复制到登陆后?因为受害者登陆后会产生cookie,从而每一次xss平台都能收到cookies

  • 现在假设管理人员登陆到后台
  • 当跳转到登陆后的页面index.php后

  • 我们的xss便起效了,并且收到了cookie
  • 此后,只要他每次登陆我们都可看到cookie,也就是每次都具有权限登陆。
  • 这种攻击类型杀毒是不会爆的,只有手动排查日志文件修改时间才可能找到,隐蔽性极高

xss权限维持(小技巧)相关推荐

  1. html使用js的变量_JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器

    什么是JavaScript全局变量? JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问. 假设你的目标Web应用程序容易受到映射到JavaScript字符串 ...

  2. ASP.NET2.0小技巧--内部控件权限的实现

    谈<内业办公自动化>(可以到http://www.aspx-net.com/测试)的实现技巧之一:     在使用ASP.NET2.0的身份验证和授权时,有时候我们需要提供比页面更高一级的 ...

  3. JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器

    什么是JavaScript全局变量? JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问. 假设你的目标Web应用程序容易受到映射到JavaScript字符串 ...

  4. 每日Ubuntu小技巧-改变登陆窗口背景

    本文为你提供了一个简单的小技巧,告诉你如何用你自己图片来替换登陆窗口的背景.Ubuntu的登陆窗口挺不错的,可能比大多数发行版的都要好,但是如果你想要使用一张你自己的图片,比如一张可以让你回忆起某个特 ...

  5. Linux Shell Tips小技巧

    文章目录 sed 指定行 删除文本 替换文本 小技巧 查找N天内修改文件 Shell写R语言 makefile写shell bad interpreter错误 替换换行符为空格 压缩并打包目录 重定向 ...

  6. 禅道826版本SQL注入,登录绕过以及禅道826后台GetShell的小技巧

    SQL注入由 orderBy($order) 函数过滤不严格导致.但是,这个函数对传进的参数进行了一系列过滤,导致 getshell 的条件比较苛刻.不甘心,于是乎找了一个比较好利用的地方.我只是以这 ...

  7. 程序员的反击!每天一个离职小技巧

    作者 | 梦想橡皮擦 来源 | 非本科程序员(ID:htmlhttp) 写在前面 俗话说的好,代码写的少,离职少不了. 最近畅游互联网,发现一些离职小技巧,读后,内心被深深的打动了,但是细细的品过之后 ...

  8. 怎么共享电脑上的文件_电脑小技巧--远程访问共享文件夹

    电脑小技巧--电脑做无线热点 电脑小技巧--U盘坏了如何修复 电脑小技巧--自动维护计划.任务关闭.禁用 电脑小技巧--预防U盘中毒 电脑小技巧--提高U盘读写速度 电脑小技巧--调整引导高级选项加快 ...

  9. sql left join 去重_混入了一些奇怪的东西?SQL小技巧之数据去重

    大家好,欢迎踏入野生程序猿的生存之道,我是你们的老朋友大猿猿! 今天聊聊数据库里怎样删除重复数据. "重复"的定义 首先咱先明确一下什么叫重复数据,比如你有个表,好比说学生表吧,这 ...

最新文章

  1. python让工作自动化_python操作excel让工作自动化
  2. canopen服务器协议,CANopen
  3. 互联网1分钟 |1105
  4. 机器学习-集成学习-提升树-Xgboost
  5. tomcat安装与项目部署
  6. 太强了!机器视觉相机解决硬币制造难题!
  7. 监控页面后退前进,浏览器文档加载事件之pageshow、pagehide
  8. 微软推出一波AI新功能:自动生成图表、更贴心的Cortana和搜索
  9. l4d2服务器修改武器伤害,辐射4武器伤害及护甲修改攻略
  10. 蓝桥杯官网练习系统入门训练(二)
  11. linux/windows_powershell/bash_硬链接Hardlink/软连接(符号链接)创建以及注意事项/powershell_获取文件绝对路径/linux符号链接检查
  12. [02/Dec/2019:12:59:10 +0800]之日期转换
  13. 介绍两个测试网页打开速度的网站
  14. 微信小程序上传silk格式录音并转码为mp3
  15. 推荐一款好用的固定资产管理系统
  16. 解决 sentinel 实时监控无数据问题
  17. VS Code C++ 代码格式化方法(clang-format)
  18. 换了个地方,来北京工作,面试了4家python爬虫,写一些这四家(记得的)笔试题(2)
  19. 微软、IBM联合开拓移动办公市场 PK苹果?
  20. 【数据恢复软件】来,认识一下

热门文章

  1. [转]怎样看懂Oracle的执行计划
  2. 阅读笔记-你的灯还亮着吗?
  3. 并不对劲的loj2179:p3714:[BJOI2017]树的难题
  4. Spring MVC请求处理流程
  5. Message 消息提示
  6. wpf BackgroundWorker 的简单用法
  7. 【转】常用的工业测量坐标系
  8. unity Android 指南针,Unity之一天一个技术点(十二)---指南针的实现
  9. oracle 把逗号分隔符,将逗号分隔为Oracle中的列
  10. java普通类获取session_springboot普通类中如何获取session?