欢迎大家来到我的博客,我是CHUA。
我在做CTFHub上有关xss的题目时,发现在做存储型xss时,一时不知如何下手。发现网上关于这道题的wp很难找(或许是因为解题方式和反射型差不多大佬都不屑于写哈哈),所以我就想写这篇博客和大家一起学习交流一下。
所谓存储型xss,就是使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里,导致用户访问页面展示的内容时直接触发xss代码。
打开CTFHub靶场。
首先注册并登录xss平台(这里给大家推荐一个XSS Platform (xsscom.com),用户名和邮箱账号随便填就行)。
登陆上去后创建一个项目.
勾选默认就行,然后下一步。
下面是创建成功后的页面。
复制上图红框部分代码到靶场第一个输入框,并点击submit.(这个时候就相当于攻击者上传xss代码到服务器)
然后把靶场url复制到第二个输入框,点击send.(这个时候就相当于被攻击者点开链接)
最后,在XSS平台查看注入结果,即可得到flag。