xss挑战赛-wp

最新推荐文章于 2023-11-12 19:28:44 发布
VIP文章 最新推荐文章于 2023-11-12 19:28:44 发布
阅读量953 收藏 1
点赞数
分类专栏: ctf web xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovely_sugar/article/details/77435886
版权

prompt(1) to win

problem 0

 

这道题没有别的特别之处,直接闭合标签然后构造就可以了,这里直接放payload

"><script>prompt(1)</script>

但是通过看大牛的wp这里也积累一些其他的思路,

"><svg/οnlοad=prompt(1)>这个思路是利用了onload的免交互的特性

"οnresize=prompt(1)>这个思路不常用,但是在IE10下,当页面第一次加载时,会调用resize事件,当把代码嵌入之后,结果就变成了

problem 1

 

这道题目有点儿意思,过滤的是<x>组合,只出现<或者只出现>都不会过滤,只有当两个字符同时出现构成组合的时候,如果向中间输入字符,就会将这些过滤掉,这样我们需要构造不用闭合的标签,

<svg/οnlοad=prompt(1)这个标签的特殊之处这里不多介绍,看了别人有用<body/οnlοad=prompt(1)也成功实现,猜测可能是onload动作的特殊性

problem 2

 

这个是过滤了(,这里知道要用ascii编码进行绕过,但是一开始用payload

<script>prompt&#4

最低0.47元/天 解锁文章
Iambangbang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1303
xss挑战前十关
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1853
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 3844
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
XSS挑战赛(xsslabs)1~10关通关解析
黄乔国PHP
03-06 745
XSS挑战赛,里面包含了各种XSS的防御方式和绕过方式,好好掌握里面的绕过细节,有助于我们更好的去发现XSS漏洞以及XSS的防御。本文更多的是分享解析的细节,不是一个标准的答案,希望大家在渗透的时候有更多的思维。
XSS基础——xsslabs通关挑战
weixin_53284312的博客
02-18 2883
xss基础——xsslabs 闯关
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
经典的xss注入通关游戏,搭建简单。适合网络安全测试人员
xss-labs-master源码
07-06
20关xss靶场练习,帮助了解关于xss
xss-demo-master.zip
04-21
xss-demo-master.zip
xsschallenge1~13通关详细教程
来日可期的博客
08-25 1705
xsschallenge通关详细教程
xss挑战1-16关
m0_73033023的博客
04-09 274
经实验,它会把script,on,href直接过滤掉,这里因为它过滤掉了,我们就可以考虑它会过滤一次还是几次或是直到没有为止,这里就可以用双写href来绕过,(记住,双写或多写的触发条件是对面过滤了敏感字符,而不是动不动用双写绕过,你的绕过思路要取决于对面的防御措施,而不是什么都不管,就全部用上!因为没有输入口,只能从URL入手,参数keyword对输入的"><做了过滤,显然不能利用了。尝试发现他对是否有http://进行判断,如果不存在http://则判断非法,所有在后面加一个http即可。
XSS挑战赛解题思路
多崎巡礼的博客
11-07 6174
xss挑战赛解题思路。。。 level1 &amp;amp;amp;amp;amp;amp;lt;!DOCTYPE html&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;!--STATUS OK--&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;html&amp;amp;amp;amp;amp;amp;gt; &amp;a
xsschallenge通关攻略详解
最新发布
一个努力学习网安的小牛马
11-12 505
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
XSS挑战赛--Writeup(共16题)
1stPeak's Blog
06-10 2200
XSS挑战赛--解题思路 Level-1 Level-2 Level-3 Level-4 Level-5 Level-6 Level-7 Level-8 Level-9 Level-10 Level-11 Level-12 Level-13 Level-14 Level-15 Level-16 Level-1 源码: <!DOCTYPE html><!--STATUS OK-...
XSS挑战
→_→
08-19 555
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 理解XSS的含义 2) 了解XSS的形成原因 3) 通过URL传递参数构造XSS弹框 [实验原理] 1) XSS( Cross Site Scripting)恶意攻击者往Web页面里插入恶意htm代码,当用户浏览该页之时,嵌入其中Web里面的htm代码会被执行,从而达到恶意用户的特殊目的。XSS攻击分成两 类,一类是来自内部的攻击...
XSCTF 联合招新赛(热身赛)WEB部分wp
akxnxbshai的博客
10-21 965
XSCTF 联合招新赛(热身赛)WEB部分wp
050 XSS通关小游戏——xss challenge
鸡蛋炒鸡蛋
03-05 5559
文章目录一:下载与部署二:通关过程首页level-01level-02level-03level-04level-05level-06level-07level-08level-09 一:下载与部署 xss challenge是个有关反射型xss的测试通关挑战,一共有20关。 下载地址:xss challenge (访问密码:donMkh) 下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可   二:通关过程 这个是我自己的通关方法,不一定很准确 首页 level-01 点击
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值