ctf中文转unicode_CTF/CTF练习平台-XSS【xss注入及js unicode编码及innerHTML】

最新推荐文章于 2024-03-26 22:01:49 发布
最新推荐文章于 2024-03-26 22:01:49 发布
阅读量309 收藏
点赞数
文章标签: ctf中文转unicode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30842027/article/details/114492297
版权

原题内容:javascript

http://103.238.227.13:10089/css

Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxxhtml

题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入sjava

补充了这个,好了,继续作题xss

右键源码学习

var s="";

document.getElementById('s').innerHTML = s;

结合上述补充,和题目要求编码

一、请注入一段XSS代码,获取Flag值spa

二、必须包含alert(_key_),_key_会自动被替换.net

首先,解释下源码中发现的代码的意思,下面举个例子说明下innerHTMLcode

百度

document.getElementById("baidu") 得到 a 这个元素

document.getElementById("baidu") .innerHTML 得到 a 这个元素内的HTML代码(即百度)

document.getElementById("baidu") .innerHTML = "谷歌"

设置 a 这个元素内的HTML代码,

设置后百度

就变为谷歌

搜索document.getElementByI

最低0.47元/天 解锁文章
那路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf中文unicode_CTF常见的加密和编码方法
weixin_42394054的博客
01-17 1063
目录哈希摘要算法以 root加密为例。MD4:32位的摘要算法。2add09183d0b1dc0428701df9838fbaMD5:32位的摘要算法。63a9f0ea7bb98050796b649e8548184SHA1:40位的摘要算法。dc76e9f0c0006e8f919e0c515c66dbba3982f785SHA224:56位的摘要算法。871ce144069ea0816545f...
CTF/CTF练习平台-XSSxss注入js unicode编码innerHTML
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 <script> var s=""; docu...
CTF题型 nodejs(1) 命令执行绕过&典型例题
最新发布
qq_39947980的博客
03-26 1329
参考:https://www.anquanke.com/post/id/237032。命令并等待 3 秒,但你不会看到任何输出或结果,因为你没有处理这个返回的对象。F12获取的是浏览器解析后的源代码,可能会包含一些动态生成的内容。在第四个字符发现非法字符,但是slice是从第四的元素开始替换。动态的一种绕过某些限制(比如模块缓存或包管理器的限制)的方法。这里是对字符操作,就是 被引号或者反引号包裹起来的字符。中的各个函数方法,再通过数组下标就可以拿到。将结果输出就可以了(就可以看到圈)
设计模式之单例模式
weixin_42148964的博客
11-08 103
设计模式(Design Patterns) 单例模式 饿汉式:类加载后初始化一个实例 /** * 饿汉式 * 缺点:用不用这个对象都会被实例。 * <p> * 单例模式 */ public class Mgr01 { /** * 类加载到内存,就实例化一个单例,JVM保证线程安全 */ private static final Mgr01 instance = new Mgr01(); /** * 将构造方法私有,使别人无法通过n
ctf笔记:编码
TengChuanB的博客
12-17 1370
计算机中的数据都是按字节存储。一个字节(Byte)由8个二进制位组成(bit)。(组成范围是0~255(2))一个字节一共可以用来表示256种不同的状态,每一个状态对应一个符号,就是256个符号,从00000000到11111111。
UNICODE进行 XSS WAF绕过
m0_48520508的博客
07-16 790
嗨,读者们 通过标题,您可能会知道这是有关使用UNICODE进行 XSS WAF绕过的文章。因此,让我们对我正在测试的应用程序有个小想法。有一个名为“稍后保存” 的选项,该选项可将您的帐户中的项目保存起来以备后用。该请求看起来像: 如果对用户进行了正确的身份验证,则此发布请求会将项目保存在用户帐户中,以供以后使用;如果对用户进行了不正确的身份验证,则该请求仅会返回一些值。因此,我在参数上手动进行模糊处理,并且注意到传递的参数值在响应主体中得到反映,而在经过身份验证和未经身份验证的场景中都没有适当的义。我
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF Converter 编码
12-08
CTF Converter 编码
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
MISC章节关于各类编码练习
精品分享-CTF比赛培训视频及往年题库解析合集(50份).zip
03-05
精品分享-CTF比赛培训视频及往年题库解析合集,共50多份资料。...CTF-第三周:信息泄露、sql注入、文件上传、常见CTF web题型及解析技巧 CTF-第四周:重点漏洞分析、金融安全案例剖析、移动安全、二进制等
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
test.ctf8 xss注入解题记录
qq_43623492的博客
04-02 4273
Level 1 页面没有文本框,但可以从URL下手 payload:test.ctf8.com/level1.php?name=<script>alert('ok')</script> Level 2 随便输入点什么,查看页面源码,发现我们输入的内容被困在了input的value属性内,那就闭合他们 payload:"><script>alert('ok...
一天一道ctf 第28天(Unicode
scrawman的博客
04-29 462
最近比较忙,好久没做题了 输入前三个的Item ID会提示Wrong commodity!,如果Price输入超过一个字符会提示Only one char(?) allowed!。那这道题就是要尝试用一个字符来表示超过1377的数 知识点:Unicode(统一码)它为每种语言中的每个字符设定了统一并且唯一的二进制编码,让每个国家的字符,例如数字,都能在计算机语言中表达其原来的意思,这就是我们能利用的点 https://www.compart.com/en/unicode/在这个网站可以查找各种Unicod
Unicode控制字符列表:Web项目HTML删除控制字符注入
异想之旅的博客
03-08 1586
用户起用户名的时候使用控制字符还是需要限制一下!下面给出了一个列表,每个数字表示一个控制字符对应的Unicode编码: [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 14
IDF-CTF-牛刀小试-ASCII码而已
saltor
05-23 2183
题目: \u5927\u5bb6\u597d\uff0c\u6211\u662f\u0040\u65e0\u6240\u4e0d\u80fd\u7684\u9b42\u5927\u4eba\uff01\u8bdd\u8bf4\u5fae\u535a\u7c89\u4e1d\u8fc7\u767e\u771f\u7684\u597d\u96be\u3002\u3002\u0077\u0063\
ctf xss利用_xss总结--2018自我整理
weixin_39851809的博客
01-14 1298
0x00前言因为ctfxss的题目偏少(因为需要机器人在后台点选手的连接2333),所有写的比较少0x01xss作用常见的输出函数:print()、 print_r()、 echo、 printf()、 sprintf()、 die()、 var_dump()、 var_export()xss是往页面中添加了一段代码,并且被浏览器执行了反射型将恶意代码写入参数,或者自己服务器上搭个form表单传...
CTF常见编码及加解密(超全)
热门推荐
RuoLi_s的博客
11-19 1万+
title: CTF常见编码(超全) author: ruoli tags: ctf 编码 密码 安全 categories: MISC summary: 这是整理的最全的ctf常见加解密,以及编码,不看后悔!! abbrlink: a36c date: 2020-11-18 08:32:39 前言 ​ 最近打了场ctf,真的是被各种编码以及加密方式给搞怕了,所以,今天就来整理一下ctf中常见的编码,顺便给这次比赛做一个总结。 常见CTF编码及加解密 补充 计算机中的数据都是按字节存储。一个字节(.
CTF 【每日一题20160605】
hhhparty的博客
06-05 1293
【每日一题20160605】 ASCII码而已 \u5927\u5bb6\u597d\uff0c\u6211\u662f\u0040\u65e0\u6240\u4e0d\u80fd\u7684\u9b42\u5927\u4eba\uff01\u8bdd\u8bf4\u5fae\u535a\u7c89\u4e1d\u8fc7\u767e\u771f\u7684\u597d\u96be\u3002
IDF-CTF-天罗地网
saltor
04-19 8390
不难不易的js加密题目:就是这里 → http://ctf.idf.cn/game/web/28点击链接,弹出一个输入框。要求输入flag。查看源代码,发现一个script脚本。 然后复制到站长工具js混淆加密压缩那里解密。 http://tool.chinaz.com/js.aspx得到解密后的代码:var a = prompt("\u8f93\u5165\u4f60\u7684\x66\x6
wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF
08-16
另外,在vue.config.js文件中也可以添加相似的配置代码: ``` devServer: { host: '0.0.0.0', port: 3000, client: { webSocketURL: 'wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF/ws', }, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值