ctfhub技能树 xss 反射型

于 2024-10-05 20:22:11 发布
阅读量226 收藏
点赞数 8
文章标签: xss 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67729650/article/details/142718489
版权

进入 ctfhub 界面 启动环境

我们先随便在框里输一点东西,看看,发现我们在第一个框里输入的东西会有回显 

 

我们构造最简单的 payload 来看是否会有弹窗

<script>alert(1)</script>

发现会有弹窗

在第二个框里输入我们弹框的 url,发现会有 successfully 的回显

我们可以查看源代码,或者抓包等,看看,有没有其他的回显信息,或者其他有用的信息.

发现并还没有找到 flag.

这时,我们可以利用 xss 平台来辅助我们拿 flag

平台地址如下:

https://xssaq.com/

随便创建一个项目之后,点击查看配置代码 

我的截图是我做完实验截的图,新建完的项目是没有任何主机上线的

我们选择第二个 payload,点击复制 

 

我们我们复制好的 payload 插入第一个框中,会在 xss 平台看到有一台主机上线,时间早的那台(这里只有一台主机)第二个为上线主机.(由于我的图是做完实验截得,你们假装看不见第一个上线的主机) 

可以点击查看:发现并没有 flag

在将我们上一步的 url 复制下来,插到下面那个框里 

回到平台发现又上线了一台主机,是第一台 

点击查看:发现 flag 

 

 

 

 

 

 

 

 

 

逍遥自在391
关注
CTFHUB xss 反射
yzl_007的博客
08-12 824
CTFHUB xss 反射 跨站脚本攻击XSS XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。 类 DOM。属于反射的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。 存储。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。 反射。需要攻击者提前构造一个恶意链接来诱使客户点击。 wp 测试 成功弹窗,存在xss 在第二个输入框复制url发送,返回成功
CTFHub---xss 反射
FY_13_14的博客
03-17 1956
反射 反射xss攻击( Reflected XSS)又称为非持久性跨站点脚本攻击,它是最常见的类XSS。 攻击代码的工作方式可以分为三个类: (1)持久跨站:最直接的危害类,跨站代码存储在服务器(数据库)。 (2)非持久跨站:反射跨站脚本漏洞,最普遍的类。用户访问服务器-跨站链接-返回跨站代码。 (3)DOM跨站(DOM XSS):DOM(document object model文档对象模),客户端脚本处理逻辑导致的安全问题。 基于DOM的XSS漏洞是指受害者端的网页脚本在
CTFHUB-技能树-Web题-XSS-反射
Static______的博客
04-11 1568
参考链接:https://blog.csdn.net/weixin_43486981/article/details/107974878。特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。输入admin后,会在页面显示,猜测可以通过该输入,改变页面内容。根据提示,把XSS平台给出的代码复制到第一个输入框中进行注入。提交后,在第二个框中访问第一个框注入XSS脚本后的网址。XSS platform平台,在上面注册一个账号。提交后,在XSS平台查看注入结果。
CTFHUB-XSS-反射
weixin_68416970的博客
08-03 550
CTFHUB技能树XSS反射的详细教程
CTFHub>Web>XSS(反射)
Ynh323的博客
05-11 584
ctfhub平台,xss反射详解
CTFHub技能树 Web-XSS 详解
weixin_45808483的博客
11-15 3508
反射 启动环境 我们在第一个框中输入 1 ,发现 hello后多了一个 1 ,这说明我们可以通过输入来更改页面内容 我们输入弹窗测试一下,发现成功弹窗 <script>alert(/xss/)</script> 我们将更改页面后的url输入第二个框,返回Successfully,猜测在后台进行访问。 这样的话我们就可以使用XSS platform平台。 下面这篇文章中向我们演示XSS platform的攻击测试。 Web安全之XSS...
CTFHub技能树web之XSS
wzhwzh123321的博客
02-26 1630
XSS系列的题目中,由于需要使用能够接受XSS数据的平台,并且由于使用的是CTFHub的模拟机器人点击我们的虚假URL,因此使用的XSS平台不能是自己本地搭建的,如果是本地的模拟点击的机器人将无法访问我们给的这个URL地址,也就无法接收到我们想要的数据了,因此想解决本系列的题目,可以通过在线XSS平台或者自己使用服务器搭建一个XSS平台。可以看到可控的位置在53-55行中的这个位置,先闭合前面的单引号和<script>,然后再用一个<script>输入XSS代码,构造语句如下';第三题: DOM反射
CTFHub——XSS
2302_79119987的博客
03-28 1267
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
CTFHub XSS DOM反射 WriteUp
柠檬i的博客
07-04 2222
查看前端代码,构造语句闭合标签,以此完成xss攻击
ctfhub技能树xss
07-28
CTFHub技能树中有关于XSS(跨站脚本攻击)的内容。XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本来...请注意,这只是CTFHub技能树中关于XSS的一部分内容,更详细的内容需要你自己去学习和探索。祝你学习愉快!
CTFhub XSS技能树
07-28
XSS(跨站脚本攻击)技能树是一个由CTFhub创建的学习路径,旨在帮助初学者逐步学习和掌握XSS攻击的技术。以下是XSS技能树的一般路径: 1. 基础知识: - 学习什么是XSS攻击以及它的原理和分类。 - 了解XSS攻击的...
CTFhub XSS技能树DOM
07-29
CTFhub 中,XSS 技能树涵盖了多个与 XSS 相关的知识点和攻击场景。以下是一些可能包含在 XSS 技能树中的主题: 1. XSS 基础知识:深入理解 XSS 的原理、类和危害。 2. 攻击载体:了解常见的 XSS 攻击载体,如 ...
ctfhub web技能树
gh0stf1re的博客
08-30 612
ctfhub web技能树 前言 其实很多题之前已经做过了,但是感觉自己没有吃透吧,只是以做题为目的。所以打算重新做一下,加深一下印象,另外,把知识点也整理一下。 Web前置技能 HTTP协议 请求方式 这时我们采用的http方法是get方法,提示我们采用CTFHUB方法 方法1:利用burp更改请求方式 方法2:使用curl(curl是http神器) curl的用法指南——阮一峰 windows下有一个自带curl的终端神器——cmder,完整版还带有git,非常推荐,具体使用及配置可以参考这几篇
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7226
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
Pikachu-Cross-Site Scripting-xss盲打
guanrongl的专栏
10-03 297
xss盲打,不是一种漏洞类,而是一个攻击场景;在前端、或者在当前页面是看不到攻击结果;而是在后端、在别的页面才看到结果。登陆后台,查看结果;
PIKACHU | PIKACHU 靶场 XSS 后台配置
Blue17 の 小窝
09-30 852
PIKACHU 自带了一个 XSS 平台,可以辅助我们完成 XSS 攻击,但是该后台需要配置数据库以后才能使用。本教程,就是教大家如何配置 PIKACHU XSS 平台的。PIKACHU XSS 平台的配置流程主要分为以下三步:修改 PIKACHU 数据库配置文件。=> 修改过的可以跳过此步初始化 PIKACHU XSS 平台数据库。登录并使用 PIKACHU XSS 平台。
XSS(内含DVWA)
m0_73902453的博客
09-27 883
反射 XSS:即时反射,依赖用户点击链接,通常是一次性的。存储 XSS:恶意代码存储在服务器上,多次执行,影响广泛。DOM XSS:常在客户端,通过操控 DOM 元素来执行,无需与服务器交互。
Pikachu-xss防范措施 - href输出 & js输出
最新发布
guanrongl的专栏
10-03 403
要想防止href 标签的xss : 一、可以做输入限定,只允许http 、https 的头的输入;二、结合输入限定后再做特殊字符转义。转义:所有输出到前端的数据,都根据输出点进行转义,比如输出到html中进行html实体转义,输入到 JS 里面的进行 JS 转义。过滤:根据业务需要进行过滤,如:输入点要求输入手机号,则只允许输入手机号格式的数字;从页面代码上看出,这是个href 标签,并且做了href特殊字符转换。核心点是:$ms == 'tmac'总体原则: 输入做过滤,输出做转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值