攻防世界web题目53 xss1

最新推荐文章于 2024-02-28 20:07:21 发布
最新推荐文章于 2024-02-28 20:07:21 发布
阅读量590 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hulitong/article/details/109037813
版权

参考:https://zhaoj.in/read-6100.html
https://www.cnblogs.com/heyuqing/p/6215761.html在这里插入图片描述
这是一个xss的漏洞,首先注册一个账号找到投稿–>发表评论或文章的地方,我们要构造一个xss代码获取cookie,然后利用cookie来登录后台管理
在这里插入图片描述
在这里插入图片描述
但是发现在这里插入图片描述
利用xss平台xss.buuoj.cn,(首先找一个临时邮箱)
在这里插入图片描述
在这里插入图片描述

HLT-0604
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界萌新入门(1)
weixin_44319142的博客
04-07 2471
cgpwn2 首先查看一下 开心的萌新题目,只开了nx嘻嘻嘻嘻嘻嘻嘻 只有hello()函数需要看看 程序里边儿就有system函数可以直接调用哈哈哈哈 不过没有“/bin/sh”的字符串,所以要写进去,要写到bss,怎么写呢,我记得原来只用过read,这里有fgets,点进去看到name是一个全局变量,在bss 利用这个把/bin/sh写进去,然后,利用gets函数覆盖返回地址到syst...
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
网安小趴菜
09-03 6155
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
【CTF练习】BUU XSS COURSE 1(XSS获取cookie登录)
最新发布
m0_73866435的博客
02-28 1821
有两个尝试点。
BUUCTF--BUU XSS COURSE
qq_46263951的博客
07-18 3744
吐槽<img scr="javascript.:alert('xss');">可以发现这里存在一个存储型XSS漏洞
攻防世界NewsCenter思路
yangker12148的博客
05-28 7003
打开环境后发现是这样一个页面 考虑到xss或者sql注入,尝试了alert无果,便试试sql注入,随便输入aaa后使用burp抓包 将这些保存在1.txt里,用sqlmap抓包,命令:sqlmap.py -r 1.txt --dbs 这里看到一个news,在继续,命令:sqlmap.py -r 1.txt -D news --dump 最后就得到flag啦!!! ...
网络安全攻防大赛ctf题目
03-09
1. **Web安全**:参赛者可能需要对HTTP协议、Web应用漏洞有深入理解,例如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等。他们还需要熟悉如何利用这些漏洞进行攻击,并学会防御策略,如输入验证、参数化查询等。 2. **...
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
CTF-WEB入门DOC-2019版1
08-03
【CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
猿人学js攻防比赛的相关题目解答.zip
08-24
在“猿人学js攻防比赛的相关题目解答.zip”这个压缩包中,我们可以期待找到一些有关JavaScript编程语言的防御性编程技巧和攻击性测试方法。JavaScript是一种广泛应用于Web开发的脚本语言,它允许开发者创建交互式的...
南京邮电大学第十一届网络攻防大赛开源题目.zip
10-23
1. **Web安全**:这可能涉及到常见的Web漏洞,如SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。参赛者需要理解HTTP协议,熟悉HTML、JavaScript和服务器端语言,以及如何利用这些漏洞获取敏感信息或执行...
不得不全部掌握:XSS 最全攻防之战!
04-16 318
背景为了提高页面性能,减少白屏时间,我的详情页面接收上游列表传过来的一个参数 cover,这是一张在上一个列表页面已经加载过了的图片链接,当跳转到我的页面时,首先将这张图片显示出来(浏览...
攻防世界 - The_Maya_Society - writeup
哒君的博客
05-30 1694
The_Maya_Society 文件链接 -> Github 初步分析 压缩包解压以后,有这些文件 打开 html 文件,浏览器中显示如下 点击download按钮,下载launcher文件。由于网站原因,这里download是进不去的,所以直接打开本地的launcher文件 程序执行过程 程序调用了time函数获取当前时间,并把它格式化后,使用 sub_B5A 函数对它进行md...
XCTF攻防世界web进阶练习_ 4_upload
silence1_的博客
05-01 2406
XCTF攻防世界web进阶练习—upload 题目 题目为updoad,是上传的意思,应该是文件上传相关题目 打开题目,不出意料,要求上传文件。 这里先试着随便上传一个php文件,试试水 弹出一个弹窗,提示要求上传一个图片 注意:这里是弹窗提示,所以考虑是js过滤。 所以传入一个内容为php,后缀为jpg文件上传,用burp抓包 将filename改为pino.php,内容为echo phpi...
XCTF攻防世界WEB新手练习篇
夜车星繁的博客
11-15 1499
做了很多题,web方向: 攻防世界web 来到齐学长推荐的攻防世界:https://adworld.xctf.org.cn/task 第一道题略过; 2.get_post 比较简单,按照提示两步即可得到flag HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: GET:向特定的资源发出请求。 POST:...
浅谈 XSS 与 CSRF 攻防
Web分享
01-06 749
简介 XSS(Cross-site scripting)跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 原理 用户的输入内容被当作程序在网页执行。 危害 偷取用户的密码和登录态 破坏页面结构 重定向到其它网站 XSS攻击分类 反射型(Reflected) url参数直接注入
[网络安全自学篇] 2021年安全学习规划
D.T.69的博客
01-20 4538
在对2021年进行规划之前,先对2020年安全学习规划做一个总结。整体来说漏洞扫描等简单安全工作已经比较熟练,网络安全等技术术语也有一定涉及;虽然日常与运维和网络沟通较少,但日常沟通相比于2019有所提升。同时2020年也出现一个小插曲,7月一直教我技术的同事离职对我今年安全学习规划来说来说是一个不小的打击。 2021年的计划是多练习渗透测试,熟练渗透手法,多开发(python等)。在练习的过程中碰到问题再通过百度等解决,同时根据问题以点带面进行安全技术学习。欢迎各位大神提建议。谢谢。 推荐一个很.
BUUCTF basic BUU SQL COURSE 1
网安小趴菜
08-25 1111
BUUCTF basic BUU SQL COURSE 1
攻防世界 web进阶笔记
weixin_43928140的博客
06-03 1832
0x02 NaNNaNNaNNaN-Batman 首先下载附件得到web100,用notepad++打开看下,是一些js乱码 我把源码贴到下面 <script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg...
攻防世界 三 (进阶篇)
sjt670994562的博客
06-09 1053
CRACKME 这一道题对OD的使用进行了一定的训练,虽然相比真真正的使用还是差很多,首先是一个注册问题的exe文件,有窗口,打开OD寻找messagebox。 尝试设置断点 然后尝试打开软件点击注册,发现到了断点,说明断成功了。然后这时候看栈口,会发现之前压进来的数据有失败的提示字面,说明我们没有到判断正误的界面找到最下面的提示字面的地址,跳转,发现函数,设置断点 再次运行,然后发现不行...
Web前端黑客攻防:揭秘XSS、CSRF与安全防护策略
Web前端黑客技术揭秘》是一本深度解析Web前端安全领域的专业书籍,作者钟晨鸣和徐少培通过对跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持等核心黑客技术的详细讲解,帮助读者理解并掌握前端安全的关键知识点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值