ctf xss利用_一道XSS题目分析

最新推荐文章于 2024-06-07 11:58:48 发布
最新推荐文章于 2024-06-07 11:58:48 发布
阅读量1.1k 收藏
点赞数
文章标签: ctf xss利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39960147/article/details/112950717
版权
目录0x00 介绍题目地址:https://challenge.intigriti.io/题目的要求是绕过CSP实现XSS,执行alert(document.domain)。0x01 解决页面中加载了个script.js:varhash=document.location.hash.substr(1);if(hash){displayReason(hash);}document.getEle...
摘要由CSDN通过智能技术生成

目录

0x00 介绍

题目地址:https://challenge.intigriti.io/

题目的要求是绕过CSP实现XSS,执行alert(document.domain)。

0x01 解决

页面中加载了个script.js:

var hash = document.location.hash.substr(1);if(hash){

displayReason(hash);

}document.getElementById("reasons").onchange = function(e){  if(e.target.value != "")

displayReason(e.target.value);

}function reasonLoaded () {    var reason = document.getElementById("reason");

reason.innerHTML = unescape(this.responseText);

}function displayReason(reason){  window.location.hash = reason;  var xhr = new XMLHttpRequest();

xhr.addEventListener("load", reasonLoaded);

xhr.open("GET",`./reasons/${reason}.txt`);

xhr.send();

}

这是个典型的DOM XSS,sourc

最低0.47元/天 解锁文章
weixin_39960147
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF学习笔记——XSS攻击
Obs_cure的博客
08-02 9541
一、XSS原理 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。[1]百度百科 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签
BuuCTF[第二章 web进阶]XSS闯关
m_de_g的博客
07-27 5399
** [第二章 web进阶]XSS闯关 ** 一、解题思路 1.一来看了一下题目的说明 我们需要执行alert函数 那就开启闯关模式,第一关,一看这个URL就很奇怪没直接上手,二话没说成功下一关 http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level1?username=<script>alert('xss')</script> 通过观察url,我惊奇的发现闯关的关卡,是由level1,level2…,我
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目
最新发布
jayq1的博客
06-07 1023
XSS
BUUCTF[第二章Web进阶]XSS闯关教程
DMXA的博客
11-01 600
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程,将恶意代码连同正常信息一起注入帖子的内容。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS
ctfshow XSS刷题总结
qq_53755216的博客
07-21 1050
简介 这次把爪牙伸到了xss 嘿嘿嘿 开始日咯! web316 用xss平台怎么也爆不出。。。 可能是姿势不对 用最原始的方法吧 在自己的服务器上写一个hack.php <?php $content = $_GET[1]; if(isset($content)){ file_put_contents('XSS/flag.txt',$content); }else{ echo 'no date input'; } 下边拿到后直接把cookie转发 <script>docum
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
热门推荐
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
XSSPawn:XSSPawn是一种灵活且可自定义的访客bot,用于设置CTF挑战; 主要用作CTF XSS Bot。 它基于CTFTraining的base_image_xssbot
04-08
XSSPawn XSSPawn是一种灵活且可自定义的访客bot,用于CTF(主要是XSS)挑战设置。 从精湛的分支建于高山的Chrome木偶核心Express.js怎么运行的XSSPawn是基于触发器的,由Express驱动的服务,它依赖于HTTP请求通信。 ...
ctf xss注入.pdf
02-11
ctf xss注入
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
xss注入讲解ppt.pptx
08-10
,反射型 xss 是现在最容易出现的一种 xss 漏洞,当用户访问一个带有 xss 代码的 url 请求时,服务器端接收数据后处理,然后把带有 xss 代码的数据发送到浏览器,浏览器解析这段带有 xss 代码的数据后,最终造成...
反射型xss攻击流量数据包
07-18
反射型xss攻击流量数据包
CTF比赛的常见题型
11-13
CTF比赛的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
xss跨站攻击【网络攻防CTF】(保姆级图文)
MZH
05-17 1231
xss跨站攻击【网络攻防CTF】(保姆级图文)
BugkuCTF平台-Web题目笔记
qq_28865787的博客
03-11 624
先从简单的下手,慢慢学习,不断更新~ Web2 查看页面源码,就到了,嗯,真的好简单。 计算器 还是先查看源码。 &amp;amp;amp;amp;amp;amp;lt;input class=&amp;amp;amp;amp;amp;quot;input&amp;amp;amp;amp;amp;quot; type=&amp;amp;amp;amp;amp;quot;text&amp;amp;amp;amp;amp;quot; maxlength=&am
CTF-XSS
H2223的博客
07-26 621
链接https提取码6elk使用phpstudy运行。
[ctfhub]-xss详解
weixin_52116519的博客
04-28 4926
1、明确cookie的作用 当你登录账号密码,服务端就会给你一个cookie,这样你在这个平台上的操作就带上了cookie来验证身份,而不用每一次操作都要你登录账号密码。cookie相当于每个人的登录凭证,如果得到了别人的cookie,特别是管理员的,我们将可以不用输账号密码,直接登录,从而获取管理员权限。 2、XSS的目的 获取别人的cookie。 Web渗透测试之XSS攻击:反射型XSS 获得cookie的方法:我们在有XSS漏洞的搜索栏输入<script>alert(document.c
ctf xss利用_利用存储型XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1592
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
ctf xss利用_CTF XSS
weixin_33945512的博客
01-14 1093
CTF XSS这一块接触的不多,这次先当搬运工,之后慢慢补上自己的东西渗透流程fuzz"'#$%^'";!-=#$%^&{()}alert(String.fromCharCode(88,83,83));prompt(1);confirm(1)绕过标签之间先闭合标签JS标签内空格被过滤:/**/输出注释:换行符%0a``%0d字符串闭合引号、宽字节文本属性把所有的payload转为HTML M...
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下
网安小趴菜
09-02 637
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下 writeup
XSS 漏洞总结
4ct10n
11-03 1万+
xss一直以来接触最少的类型,现在终于有幸将其总结一下了·····,xss漏洞是目前最为常见的漏洞类型之一,其触发脚本经常与js代码有关,所以要想掌握好xss必须要有深厚的js编码功底。本篇内容是我学习xss的总结,会结合着代码编写与实验,对xss进行系统的讲解,以便我更好的认识xss

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值