CTFUTF7-XSS

最新推荐文章于 2024-06-07 11:58:48 发布
最新推荐文章于 2024-06-07 11:58:48 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: CTF 文章标签: CTF XSS

CTF零基础入门指导第二节
CTFUTF7-XSS

【实验思路】
UTF-7:这是一种使用7位ASCII码对Unicode码进行转换的编码。它的设计目标仍然是为了在只能传递7为编码的邮件网关中传递信息。UTF-7对英语字母、数字和常见符号直接显示,而对其他符号用修正的Base64编码。符号+和-号控制编码过程的开始和暂停。所以乱码中如果夹有英文单词,并且相伴有+号和-号,这就有可能是UTF-7编码。

【题目】
题目
可以看出题目与XSS相关,并给了一个编码过的URL。

【实验步骤】

  1. 将url链接复制粘贴到burpsutie,(“Decoder”,“decode as”->url),进行url解码。
    url解码
  2. url解码后可以看到如下,里面有“+/v++”,可以猜出这是UTF-7编码
    url解码后
  3. 讲+/v++与-之间的内容复制粘贴,并保存为html文件,在IE浏览器中打开,(因为ie浏览器默认可以解析utf7编码)。
    utf7编码
    ie浏览器解析utf7
    可以看到ie浏览器解码并执行了刚才那段utf7编码后的代码,得到key。
    得到key
    (摘自实验吧课程)
嗯哼哈嘿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UTF7 编码及解码工具
04-24
UTF7 编码及解码工具 用于XSS方面
utf-7 xss
caoliangbo的博客
03-14 1089
utf-7 xss 2012-02-13 22:49 星期一 晴   ----------------------------------------- UTF-7 XSS Paper ----------------------------------------- ***************** 0x01. UTF-7是什么 **********************...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
最新发布
jayq1的博客
06-07 1126
XSS
utf-7 xss paper
weixin_33805992的博客
02-15 249
熬了一天终于完成师父(hiphoph4ck)布置的小作业之一了= =~ <感谢d4rkwind牛和5up3rh3i牛的文章> <感谢d4rkwind牛、师父(hiphoph4ck)、5up3rh3i牛的指导> <写得不对和不严谨的地方欢迎大家指出> ---------------------------...
UTF-7编码
Hanford的专栏
11-27 5587
目 录 1 编码    1 2 编码代码(C++)    2 3 解码代码(C++)    4 4 测试代码(VC++)    7   1 编码 UTF-7编码的规则及特点为: 1)UTF16小于等于 0x7F 的字符,采用ASCII编码; 2)UTF16大于0x7F的字符,采用Base64编码,然后在首尾分别加上+
【应用安全——XSS】——UTF-7 XSS
Fly_鹏程万里
02-22 1618
受影响浏览器版本为IE6,影响范围较小。 如果在Content-Type中没有设置charset,如下: Content-Type:text/html 在meta标签中也没有设置字符集 &lt;meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ /&gt; 就可以通过字符集抢占的方式使浏览器以UTF-7解析。...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
lucy-xss-filter
04-30
Lucy-XSSXssFilter,XssPreventer Lucy-XSS是一个包含两个防御模块的开源库,用于保护Web应用程序免受XSS攻击。 它支持基于白名单规则的安全策略。 当前的默认规则是Naver的标准。 您可以根据需要更改默认规则。...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
findom-xss:一个基于DOM的快速XSS漏洞扫描程序,非常简单
04-22
FinDOM-XSS FinDOM-XSS是一种工具,可让您快速找到可能的和/或潜在的基于DOM的XSS漏洞。安装$ git clone https://github.com/dwisiswant0/findom-xss.git --recurse-submodules依赖项: 用法要在目标上运行该工具,...
UTF-7 编码解码工具
03-14
UTF-7,编码解码工具,可直接用于跨站脚本攻击xss
web在线解码
07-06
支持在线解码,可以上传微博、QQ、微信二维码等图片在线解析!
字符编码--UTF-7(1994年首次被提出)
weixin_34365635的博客
01-11 368
2019独角兽企业重金招聘Python工程师标准>>> ...
UTF-7编码当中的加减号(+ -)
KSroido的博客
11-12 663
文章目录文章背景UTF-7编码当中的加减号(+ -) 文章背景 来自于中科大2020年CTF比赛: 233 同学的字符串工具 本题要求了解UTF-7编码规范 UTF-7编码当中的加减号(+ -) 本题WP当中最令笔者奇怪的是答案当中的+ -,如图 多方查找(包括中文维基)都没有解决 最后在英文维基上发现了一段中文维基没有翻译的内容,如图: 也就是说,类似于 0x后面的数字会被视作十六进制,从而可以被python的eval()转换 对于字符串而言也有: +与-中间的字符串会被视作BASE64编码, 可以
字符编码(ASCII、ANSI、Unicode---utf-8/utf-7/base64等)
weixin_36329879的博客
11-12 1572
1.首先了解什么是字符编码 计算机信息包括数据信息和控制信息,数据信息又可分为数值、非数值信息。非数值信息和控制信息涵盖字母及各种符号,以二进制的形式存入计算机并得到处理。这种对字母、符号进行编码的二进制代码称为字符编码。   2.字符集传输编码标准 字符编码主要经历了3个阶段: (1)字符编码产生。字符编码产生的时候,最典型的编码标准是ASCII编码(美国标准信息交换编码),用8二进...
about utf7-BOM string injection
weixin_34192816的博客
02-13 154
about utf7-BOM string injection 在一次和大牛Mario Heiderich的交流中,他问我知不知道“+/v8”,那时候我对这个一无所知,于是他就发我大牛Gareth Heyes'的一paper《XSS Lightsabre techniques》,在ppt的34页里: CSS expressions with UTF-7 • ...
CTF—base64+UTF7/8
The Road Of Sec
10-11 2425
base64+utf7/8的原理和实验步骤
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值