bugku 简单xss

最新推荐文章于 2024-03-26 19:44:14 发布
最新推荐文章于 2024-03-26 19:44:14 发布
阅读量1k 收藏
点赞数 1
分类专栏: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/D_pokemon/article/details/75823669
版权

先看一下题目描述

题目说注入一段规定的xss代码就能获得flag,那就先按照题目要求进行注入

这个时候发现_key_并没有被替换掉,查看一下源代码

发现注入的xss代码中尖括号被过滤了,这就好办了,可以使用Unicode编码进行绕过,(本来我是采用的url编码,发现绕不过。。。)

发现什么都没有,再次查看源代码

就能看到flag

Daniel-0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku-writeup-MISC-简单套娃
dark的博客
07-08 541
题目:简单套娃 工具:010 editor Stegsolve 01—010 editor查看图像 使用010 editor打开图像,发现两个图像头文件,将第二个头文件至后面部分保存为第二张图片。 02—Stegsolve图像分析 在图层中发现flag,flag不是很清晰,可以多个图像对应观察。 ...
BugKu -- XSS
小水池
08-11 2251
XSS 100 http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 打开页面提示XSS注入,但是没有注入点啊。。。百度提示在url上加id参数。。 试试 ?id=1,有回显1,这下有注入点了    构造xss   http://103.238.227.13:10089/?id=<scri...
XSS——bugku
weixin_34138377的博客
07-16 627
刚刚做了bugku的题目,现在整理一下 写出解题思路,希望能够帮助到那些需要帮助的人 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找, 希望你们不要责怪!!共勉!!! Challenge 645 Solves XSS 100 http://103.238.227.13:10089/ Flag格式:Flag:x...
bugku(XSS)
筱阳的博客
07-20 1114
    先试试是不是反射性注入   查看源代码     先试试<script>alert(/xss/)</script>   查看源代码发现<>被过滤了 利用unicode编码绕过 <  \u003c   >  \u003e   再利用onerror事件 如果在加载图片时发生错误则执行 JavaScri...
bugku xss
rommel的博客
08-29 2739
XSS注入测试 1、请注入一段XSS代码,获取Flag值 2、必须包含alert(_key_),_key_会自动被替换 题解: 首先我们查看源代码 发现可以通过xss注入  所以我们只需将转义即可  于是我们构造?id=\u003cscript\u003ealert(_key_)\u003c/script\u003e 即可获得flag 如有疑问请联系qq:834368404
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
XSS.rar_XSS
09-22
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全问题,尤其是在Web前端开发中尤为突出。XSS攻击允许攻击者在用户浏览器上执行恶意脚本,从而窃取用户数据、操纵用户界面或者执行其他有害操作。以下...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
springboot整合XSS
03-20
本文将深入探讨如何在Spring Boot项目中整合并预防XSS(Cross-Site Scripting)攻击。XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要...
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过在网页中注入恶意脚本,来劫持用户会话、窃取敏感信息或执行其他恶意操作。Java作为广泛使用的服务器端编程语言,也可能会遭遇...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku简单的套娃
qq_57061511的博客
06-14 1064
bugku简单的套娃 下载得到一张图片,根据题目提示,猜测是图片里面套图片,使用binwalk打开发现,果然有两张图片,接下来我们要进行图片提取,将图片拖到010editor中,将第二个JPG文件头后面的复制下来另存,得到另一张图片,放到stegsolve中,点击SteregramSolve,左右偏移立体视图,直到发现flag出现。 知识点: 1.binwalk:binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。具体使用方法参考大神博客(转载):【binwalk使用整理_轩渊的博客.
bugku-简单套娃
最新发布
kw741951的博客
03-26 183
所以想到文件分离,试着把第一个FF D8 FF的文件删掉,剩下的另存为一张图片。看到端倪,有两个jpg文件头FF D8 FF。打开图片,得到图片右上角有隐含的flag。首先查看一下属性,没有找到有用信息。试试用010editor打开。
bugku 简单套娃
weixin_46578840的博客
06-26 423
下载打开,是一个图片,010打开,一看过去有两个FF D8,也就是两个jpg的头部,将下面另一个以下全部另存为新的jpg图片 Stegsolve打开 眼睛看废了才得到 flag{Mumuzi_the_God_of_Matryoshka}
BUGKU_WEB_XSS
308宿舍的鶸
08-12 296
  直接传入<script>alert(_key_)</script>后发现尖括号被转义。 在i春秋看视频的时候也遇到过这种问题,将<替换为\u003c,>替换为\u003e即可绕过 于是我们就可以构造payload为?id=\u003cscript\u003ealert(_key_)\u003c/script\u003e 上传后果然获得了fla...
BugkuCTF-MISC题简单套娃
am_03的博客
09-04 878
打开题目,是一个图片。 丢进010发现有两个jpg头 把第二个FFD8FFE0后面一起复制下来,另存为一个新的图片。 丢进StegSolve,发现别的图层存在flag。 点击下方的左右箭头变换, 若flag实在看不清,两张图放进Stegsolve的Image Combiner通过SUB(RGB separate)模式看一下(相互变换两张图片打开顺序) ...
刷题新得9(bugku)--实际是看write up获得的一些知识点--xss
hacker__l的博客
07-28 218
[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[...
bugku 简单加密
qq_38807738的博客
12-20 762
打开题目,一串字符,猜到是凯撒加base64混合加密:  e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA 写个python脚本搞定 import base64 text = input("请输入密文") text1='' for i in text: t=chr(ord(i)-4) text1+=t pr...
bugku 简单套娃详细步骤
qq_44740774的博客
05-30 1063
第一步 用010edit打开图片文件,输入文件头,发现有两个图层,将第二个图层从头到结尾全部复制粘贴到十六进制文件中去,最后保存为jpg格式就得到和原图差不多的图片# 第二步 用Stegsolve.jar中的Analyse中imge combiner功能打开图片就能得到flag 比较费眼! flag{Mumuzi_the_God_of_Matryoshka} ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值