CTF/CTF练习平台-XSS【xss注入及js unicode编码及innerHTML】

最新推荐文章于 2024-07-31 13:21:53 发布
最新推荐文章于 2024-07-31 13:21:53 发布
阅读量1.8k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43679507/article/details/84071839
版权
本文介绍了在CTF比赛中遇到的一道XSS题目,详细讲解了如何通过JavaScript Unicode编码绕过过滤,成功注入并获取Flag。涉及到innerHTML的使用以及XSS过滤机制的理解,同时推荐了相关学习资源。
摘要由CSDN通过智能技术生成

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

原题内容:

http://103.238.227.13:10089/

Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx


题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s


补充了这个,好了,继续做题

右键源码

<script> var s="";         document.getElementById('s').innerHTML = s;</script
最低0.47元/天 解锁文章
还可以啦
关注
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
CTF-Web-XSS
beihai2013
02-03 762
XSS靶机 level1 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> ## 若执行了alert,则执行以下语句 window.alert = function() { confirm("完成的不错!"); window.loc
CTF 【每日一题20160618】简单xss示例
hhhparty的博客
06-18 7487
继续黑客游戏 第五关 复杂的文字游戏 点一下have a try 下面一行后那个回车 并有弹出消息框 分析:这是要考XSS,右侧还提示“会用错误控制台么?”,这个是提示用chrome的console(按F12调用)。 首先看一下源码,发现里面有一段手写脚本编码风格一般较差的那种),似乎是网页程序员留下的: 他们说输入的地方就是攻击的开始
CTFshow_XSSxss-labs全关卡万字通关笔记
最新发布
dasdasdasvsdV的博客
07-31 296
反射型非持久型,常见的就是在URL中构造,将恶意链接发送给目标用户。当用户访问该链接时候,会向服务器发起一个GET请求来访问带有恶意代码的链接。造成反射型XSS主要是GET类型。存储型持久型,常见的就是在博客留言板、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端(数据库、内存、文件系统等),每次访问都会触发恶意代码。DOM型DOM型XSS其实是一种特殊类型的反射型XSS,也被称作本地跨站,它是基于DOM文档对象模型的一种漏洞。
ctf中文转unicode_CTF/CTF练习平台-XSSxss注入js unicode编码innerHTML
weixin_30842027的博客
02-23 357
原题内容:javascripthttp://103.238.227.13:10089/cssFlag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxxhtml题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入sjava补充了这个,好了,继续作题xss右键源码学习var s="";document.getElementById('s')....
ctf xss利用_一道XSS题目分析
weixin_39960147的博客
01-14 1215
目录0x00 介绍题目地址:https://challenge.intigriti.io/题目的要求是绕过CSP实现XSS,执行alert(document.domain)。0x01 解决页面中加载了个script.js:varhash=document.location.hash.substr(1);if(hash){displayReason(hash);}document.getEle...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
jayq1的博客
06-07 1900
XSS
CTF特训营》——跨站脚本攻击(XSS
PICACHU+++的博客
07-15 2307
跨站脚本攻击简称XSS,是一种网站应用程序漏洞,是代码注入漏洞的一种,攻击者可以通过这个漏洞向网页中注入恶意代码,导致用户浏览器加载网页、渲染HTML文档时执行攻击者代码。反射型XSS,存储型XSS,DOM型XSS输出在HTML属性中,输出在CSS代码中,输出在JavaScript中.......................................
CTFhub之xss漏洞
weixin_46954909的博客
05-15 755
前期了解:上半部分是用户执行的操作,下半部分是模拟服务器的操作。
innerHTMLXSS攻击
hhhh
04-30 4162
HTML5为所有元素提供了一个innerHTML属性,既能获取对象的内容又能向对象插入内容 属性值:HTML标签/文本 浏览器会将属性值解析为相应的DOM树 HTML解析器在浏览器中是底层代码比JavaScript方法快很多,同时意味着替换元素上的关联事件处理程序和JavaScript对象需要手动删除。 插入script和style元素的时候需要看具体的浏览器 XSS攻击 outerHTML ==innerHTML定义的DOM树+自身元素 innerText与outerHTML: innerText:后代
unicode绕过过滤触发XSS
一米八多的瑞兹的博客
03-07 863
unicode绕过过滤触发XSS 1. unicode介绍 Unicode(统一码、万国码、单一码)是计算机科学领域里的一项业界标准,包括字符集、编码方案等。Unicode 是为了解决传统的字符编码方案的局限而产生的,它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。 使用python将字符转换为unicode类型。 2. XSS挖掘 构造无害独一字符串,在响应在寻找该字符串。 3. 双斜杠+unicode绕过 4. Payload触发XSS Payl
BUUCTF XSS闯关1
m0_74167420的博客
04-18 1920
使用'1闭合后面的单引号,当然也可以使用"//"将其注释,最终 username = alert(1);这段代码是一个简单的JavaScript脚本,其中包含一个alert函数调用,用于显示一个弹出框,内容为"xss"。javascript:alert(1),浏览器会把javascript后面的内容当做代码执行,直接在当前页面执行。所以执行:autosubmit=1&action=JavaScript:alert(1);
XSS-Lab(XSS注入笔记1-16)
小谢的博客
10-29 5052
XSS-Lab(XSS注入笔记1-16)
对于xss等有关的html,url,unicode编码做的一个小总结。
weixin_30385925的博客
08-05 778
参考:http://bobao.360.cn/learning/detail/292.html,算是对前部分作一个总结性的学习。 1<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29"></a> URL 编码 "javascript:alert(1)" JavaScript是个伪协议,对协议...
浅谈javascript注入攻击
qq_41914181的博客
10-17 1万+
前言 记录一次防止js注入的项目经历,起因,项目在测试过程中,发现可能存在注入可能,于是拿到代码开始查看,因为现在前后端分离的情况下,需要特殊处理避免XSS攻击(跨站脚本攻击)的情况已经很少了,所以这次情况引起了我的兴趣。 介绍 什么是javascript注入攻击?简单来说,就是页面上输入的内容中带有可执行的javascript,而你使用这段输入内容的时候,让这段用户提供的代码执行了,也就是你写的代码,执行了非你写的代码,就会导致网页的不可行乃至更严重的安全威胁。 传统页面的服务端渲染 因为传统页面基本都是
关于HTML 代码注入XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
XSS学习整理——0ctf和一只皮卡丘的死磕
publicStr的博客
04-02 2229
开始前的例行叨叨:这次记录的是20180ctf的web题,名字不重要了,我只记得那只页面上的皮卡丘。到比赛结束没有做出来!!在坐等wp,以后会更新。一、题目分析(熟悉题目的大佬就跳过吧)1、登录界面 /game/index.php注册和登录界面都是这一个,账号名不能特殊符号,验证码复制上到Python里直接跑即可。不登录,则不能进入主界面,不能看用户的profile简介,直接进入会被跳转:http...
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值