CV 新手寫第一次寫不足還請大佬多多指教，圖片上傳太麻煩了有的圖片上傳的位置估計不對，還請大家多多海量

通過對Tips的讀取我們明白了這題是一道存儲型XSS偷取cookie的題目。（因為flag在cookie中，XSS BOT每10秒就帶著有flag的cookie去訪問查看留言的頁面）

既然是存儲型XSS，那么我們先用彈窗去嘗試那么就開始插入

把能插的地方都放了一遍因為我們不知道哪里可以插入成功

然后提交

彈窗說明我們插入成功右擊審查元素看看是哪里提交成功了

這里執行了我們的js腳本
接下來我們用xss平臺獲取他的cookie

點擊創建項目然后我們把他命名為H描述可以不填然后點擊下一步

記得選取這兩個模塊

這個插到我們剛剛實驗可以執行腳本的地方
然后點擊下面的完成

插入成功 沒顯示說明是執行了我插入的語句。我們可以在谷歌瀏覽器可以選擇到Sources,然后就可以看到了網頁加載了xsspt.com說明XSS成功

然后返回我們xss平臺查看

成功了 然后我們來用這個cookie進行登入不要輸入賬號密碼 我們用burp進行抓包

把這個cookie換成我們剛剛抓到的管理員的cookie

然后點擊下一步

登入成功

【想學滲透的come on】

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的渗透新手福利---xss到获取cookie入门级的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。