CTF一些入门题目的wp(一)

1. XSS注入测试 题目链接(http://103.238.227.13:10089)

        进入网页后发现


        由题目原先的提示得知注入点为id(GET方法),查看网页源代码,发现如下代码
 
        猜测应该是将s赋值为用户传上去的id的值
        innerHTML无法执行进来的script  可以构造img标签来使script执行
        测试一波:http://103.238.227.13:10089/?id=<%20img%20src=1%20οnlοad=alert(_key_)/>
        有回显 并没有成功,查看此时的源代码,发现<>被编码了 猜测应该是<>被过滤了
         考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
        http://103.238.227.13:10089/?id=\u003c%20img%20src=1%20οnlοad=alert(_key_)/\u003e
        成功
        参考做法:https://blog.csdn.net/wy_97/article/details/77755098
        
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值