CTFHub xss存储型 wp

最新推荐文章于 2024-03-28 22:00:00 发布
最新推荐文章于 2024-03-28 22:00:00 发布
阅读量933 收藏 3
点赞数 5
文章标签: xss web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73661602/article/details/131827363
版权

欢迎大家来到我的博客,我是CHUA。

我在做CTFHub上有关xss的题目时,发现在做存储型xss时,一时不知如何下手。发现网上关于这道题的wp很难找(或许是因为解题方式和反射型差不多大佬都不屑于写哈哈),所以我就想写这篇博客和大家一起学习交流一下。

  

 所谓存储型xss,就是使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里,导致用户访问页面展示的内容时直接触发xss代码。

打开CTFHub靶场。

首先注册并登录xss平台(这里给大家推荐一个XSS Platform (xsscom.com),用户名和邮箱账号随便填就行)。

登陆上去后创建一个项目.

勾选默认就行,然后下一步。

 下面是创建成功后的页面。

 

复制上图红框部分代码到靶场第一个输入框,并点击submit.(这个时候就相当于攻击者上传xss代码到服务器)

然后把靶场url复制到第二个输入框,点击send.(这个时候就相当于被攻击者点开链接)

最后,在XSS平台查看注入结果,即可得到flag。

 

 

 

CHUA731
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf xss利用_利用存储XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1593
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
CTFHub | web——xss存储
2301_76435948的博客
09-28 603
提交后无任何变化提交后:将本页url粘贴到第二个框中:得到flag。
ctfhubxss
小宇的web博客
05-22 1643
ctfhubxss 1.我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 解题流程 1.先在上面的what’s your name 输入JavaScript语句,发现出错只能使用xss平台在下面的对话框中进行xss漏洞注入。 这里先注册一下xss测试平
CTFHUB-WEB-XSS-存储
weixin_49539962的博客
08-07 318
和反射是一样的,使用xss platform。
基于hadoop构建对象存储系统_对象存储添加Hadoop、OpenStack插件
weixin_39588252的博客
12-18 170
【IT168 资讯】对象存储初创公司Scality将其存储添加到Hadoop,使用户可避免通过Hadoop自己的文件系统加载数据。他们还推出了一款针对Cinder——在OpenStack项目里面的块存储层的插件。RING是基于一组X86服务器节点的对象存储基础架构,存储对象而不是文件或块,而且可以并行操作。Scality提供的一个被称为“生产级Hadoop存储实施”使用了CDMI——由SNIA开发...
YXcms-含有存储XSS漏洞的源码包
03-17
存储XSSXSS攻击的一种类,这种漏洞通常发生在用户提交的数据被持久化存储在服务器上,并在后续请求中未经适当过滤或转义就被显示出来,从而允许攻击者植入恶意脚本。 【描述解析】 描述中的"亲测真实有效可用...
XSS存储 网易云课堂
01-18
**XSS存储攻击详解** XSS(Cross Site Scripting)跨站脚本攻击是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到网页中,进而影响其他访问该网页的用户。XSS存储XSS攻击的一种类,与反射...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS)漏洞。这种漏洞允许...
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
CFTHub XSS
Resets_的博客
05-08 596
CTF hub XSS
CTFHub——XSS
最新发布
2302_79119987的博客
03-28 958
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
[ctfhub]-xss详解
weixin_52116519的博客
04-28 4931
1、明确cookie的作用 当你登录账号密码,服务端就会给你一个cookie,这样你在这个平台上的操作就带上了cookie来验证身份,而不用每一次操作都要你登录账号密码。cookie相当于每个人的登录凭证,如果得到了别人的cookie,特别是管理员的,我们将可以不用输账号密码,直接登录,从而获取管理员权限。 2、XSS的目的 获取别人的cookie。 Web渗透测试之XSS攻击:反射XSS 获得cookie的方法:我们在有XSS漏洞的搜索栏中输入<script>alert(document.c
CTFHub XSS+文件上传 WriteUP
tangshuangsss的专栏
07-05 448
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
XSS
Derait的博客
03-13 337
XSS 文章目录XSS简介反射XSS例题 [ctfhub xss 反射]存储XSSDOMXSS参考链接 简介 跨站脚本漏洞(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print pri
web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2404
XSS-pikachu
CTFHub技能树 Web-XSS 详解
weixin_45808483的博客
11-15 3346
反射 启动环境 我们在第一个框中输入 1 ,发现 hello后多了一个 1 ,这说明我们可以通过输入来更改页面内容 我们输入弹窗测试一下,发现成功弹窗 <script>alert(/xss/)</script> 我们将更改页面后的url输入第二个框,返回Successfully,猜测在后台进行访问。 这样的话我们就可以使用XSS platform平台。 下面这篇文章中向我们演示XSS platform的攻击测试。 Web安全XSS...
2023-7-27 ctfhubxss
strider1123的博客
07-27 194
拖了好几天了,今天得赶紧把xss整完 xss:跨站脚本攻击(Cross Site Scripting),为与层叠式样表css区分写为xss xss攻击能够用来盗用cookie,获取敏感信息等 xss攻击大概分为三种:反射存储,DOM,反射存储也可以叫非持续和持续 攻击产生的原理是由于网页在处理用户输入的文本时将<script>等作为html的标签,执行了里面的代码,...
CTFHub | 存储
尼泊罗河伯的博客
01-05 1138
检查网页显示内容发现有一个输入框以及一个提交表单。可以在这个输入框中输入你的名字并提交。第二个输入框是发送构造好的 XSS 链接给机器人模拟执行。
ctfhub xss
09-19
引用和引用[2]中提到的CTFHUB-XSS是一种攻击技术,通过构造恶意链接或在存在XSS漏洞的地方注入恶意脚本来获取用户的cookie信息。攻击者可以通过诱使受害者点击带有恶意脚本的链接,从而在自己搭建的XSS平台上记录下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值