Pikachu 漏洞练习平台 pika~pika~---Cross-Site Scripting通关攻略

于 2024-08-22 18:45:09 发布
阅读量325 收藏 4
点赞数 9
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81525518/article/details/141434161
版权

第一关 反射型xss(get)

这里输入语句发现输不进去了

F12进入管理页面把这里字符数量改大就行了

<script>alert(1)</script>输入这条语句弹出弹窗就对了

第二关反射型xss(post)

这里进来显示的是登录页面点一下提示有用户和密码

登录后输入语句<script>alert(1)</script>弹出弹框完成

第三关存储型xss

进来发现它是一个留言板 输入语句<script>alert(1)</script>成功弹出

第四关DOM型xss

进来输入语句' οnclick="alert('1')">点击提交下边出来一个'>what do you see?点击试试

一点击弹出弹框就成功了

第五关DOM型xss-X

进来输入语句进行尝试' οnclick="alert('1')">

下边弹出一行字然后点击一下又跳出来一行

再次点击弹出弹出说明成功了

第六关xss之盲打

在留言板里输入语句 <script>alert(1)</script>,名字随便输一个然后点提交。

这里提交完说你提交完成了然后点一下提示根据地址登录后台

这里进去后有登录界面输入用户密码登录

这里点击登录弹出弹框说明成功

第七关xss之过滤

这里题目为过滤所以我们来试试大小写绕过   <sCript>alert(1)</sCript>

点击弹出弹框

第八关xss之htmlspecialchars

 输入语句 'οnclick='alert(1)'

点击submit显示出一行进行点击

显示弹窗成功

第九关xss之href输出

输入语句  javascript:alert(1)(如果不知道语句怎么闭合去页面源代码查看)

显示出一行字让我们自己点一下然后弹出弹窗

第十关xss之js输出

这里试了半天没试出来,进去原代码一看就发现问题了    ';alert(1);//

2301_81525518
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防系列——pikachu靶场通关练习
weixin_43140411的博客
10-23 1993
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
Pikachu漏洞平台练习
七天
12-11 1万+
简介   Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。 文章目录简介环境1、brute force(暴力破解漏洞)0X1.基于表单的暴力破解0X2.验证码绕过(on server)0X3.验证码绕过(on client)0X4.token防爆破?2、XSS(跨站脚本漏洞)0X1.反射型XSS(get)0X2.反射型XSS(post)0X3.存储型XSS0X4.DOM型xs
Pikachu-----Cross-Site Scripting(XSS)
m0_65712192的博客
12-17 907
Pikachu-----Cross-Site Scripting(XSS)
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1693
xss笔记
Pikachu靶场-Cross-Site Scripting
吾所在处,即为净土
12-28 427
文笔生疏,措辞浅薄,望各位大佬不吝赐教,感激不尽。
Pikachu漏洞练习平台做题记录+原理解析(2.2)XSS姿势和技巧
自知.的博客
10-16 964
pikachu靶场出发,探索XSS类型和原理,事无巨细,通俗易懂,具有参考和学习价值。文章内容为入门级,小白也学得会。本文为我的pikachu靶场做题记录。
pikachu靶场-XSS
braty_的博客
02-21 1440
这里是用get请求做了一个长度的限制,我们使用hackbar来进行传参,页面会弹出一个xss,证明存在xss漏洞,我们顺便讲一下 beef-xss工具。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。在输入框随便输入 11 ,F12 可以看见,11 被添加在了 标签里面(html的超链接标签)XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
Pikachu靶场通关秘籍(持续更新)
liu914589417的博客
10-17 4358
Pikachu靶场通关秘籍(持续更新)
Pikachu靶场之XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场之XSS漏洞详解前言XSS漏洞简述第1关 反射型xss(get)第2关 反射性xss(post)第3关 存储型xss第4关 DOM型xss第5关 DOM型xss-x第6关 xss盲打第7关 xss之过滤第8关 xss之htmlspecialchars第9关 xss之href输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
pikachu漏洞练习环境
10-25
"pikachu漏洞练习环境" 是一个专门为网络安全爱好者和专业人士设计的平台,旨在提供一个实践和学习漏洞利用技术的环境。这个环境可以帮助用户提升在网络安全领域的技能,了解常见漏洞的原理,以及如何检测和修复它们...
pikachu-volleyball:通过对原始游戏进行逆向工程将Pikachu排球实现为JavaScript
04-14
皮卡丘排球 ✓英语| 皮卡丘排球(対戦ぴかちゅ〜ビ ー チ バ レ ー编)是由“(C)SACHI SOFT / SAWAYAKAN Programmers”和“(C)Satoshi Takenouchi”在1997年开发的一种旧版Windows游戏。...
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞
pikachu-master
05-04
Pikachu漏洞测试平台搭建详解》 在网络安全领域,漏洞测试是确保系统安全的重要环节。Pikachu,一个以小精灵命名的漏洞测试平台,因其易用性和实用性,成为了许多安全研究人员和初学者的首选工具。本文将详细介绍...
graphql-pokemon:使用GraphQL获取神奇宝贝的信息!
02-03
如何使用只需通过GraphQL中的查询即可获取Pokémon的信息,例如: query { pokemon ( name : " Pikachu " ) { id number name attacks { special { name type damage } } evolutions { id number name weight { ...
pywebview 入门
小小宾的博客
08-18 737
pywebview 是一个轻量级的 python 库,旨在简化桌面应用程序的开发。它利用系统的 WebView 组件,使得开发人员可以使用现代 Web 技术(HTML、CSS、JavaScript)来创建用户界面,同时使用 python 处理业务逻辑。pywebview 使得创建跨平台桌面应用程序变得更加简单和高效。
【js】各类前端输入校验方法
最新发布
galaxyJING的博客
08-21 240
【代码】【js】各类前端输入校验方法。
web前端之html弹窗面板的popover新属性
软件毕设协助及软件开发、智慧电子模块、计算机科技、软件开发、硬件开发、程序员、写代码、工程师、互联网、物联网、技术栈、程序、编程、IT。
08-18 3901
web前端之html弹窗面板的popover新属性
CORS error && 302 Found
zcxbd的博客
08-19 194
单点登录认证:访问A系统,在B系统登录认证此处代码为A系统。
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场的sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有表名:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu --tables。 2. 然后,您可以使用以下命令来查询指定表名(例如users)的字段(例如username和password)并导出结果:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu -T users -C username,password --dump。 3. 如果您需要爆出数据库名为pikachu,您可以使用以下命令:a' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu')),0)#。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值