CTFHUB-XSS-存储型

已于 2024-08-06 21:42:38 修改
阅读量330 收藏 4
点赞数 16
分类专栏: CTFHUB技能树 文章标签: xss 前端 安全 网络安全 web安全
于 2024-08-05 08:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68416970/article/details/140807476
版权

开启题目

输入以下语句测试一下,发现页面弹出窗口显示“flag”,说明这里存在 XSS 漏洞

<script>alert("flag")</script>

这里我们使用 TLXSS 平台(XSS平台-XSS测试网站-仅用于安全免费测试,没有账号可以注册一个,用户名最好是英文)

点击创建项目,项目名称随便起

在“我的的项目”点击刚才创建的项目,再点击右上角的查看配置源码

这里选择第二个

把代码放在题目页面存在 XSS 漏洞的位置,点击提交,执行 XSS 攻击

第二个输入框是模拟目标网站用户点击受污染的 URL 链接,如果点击了这个链接,那么刚刚注入的 XSS 代码将会被执行并传递到本地服务器中

把 URL 复制粘贴到第二个输入框,点击 send 。页面显示 successfully

再到 TLXSS 平台的项目页面查看 cookie 参数是否传到本地服务器中

然后发现了本题的 flag

燕雀安知鸿鹄之志哉.
关注
专栏目录
CTFCTFHub------web-XSS-反射
从零开始的网安生活
07-23 1658
文章目录XSS反射 XSS 反射 1.注册登录xss平台,我的项目-创建-填写名称-选择默认模块 XSS平台在这儿 2.点击题目链接进入,将网址name=后改为平台提供的代码后,send 在项目接收内容中获得flag ...
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7197
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
CTFHUBXSS—DOM反射
最新发布
weixin_68416970的博客
08-05 231
CTFHUB技能树,XSS漏洞,DOM反射的过关教程!超详细!包看包会!
CTFHUB-XSS-反射
weixin_68416970的博客
08-03 529
CTFHUB技能树、XSS、反射的详细教程
xss跨站攻击脚本概述
xu_1234567的博客
10-28 339
1.XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 xss攻击分为三类: (1)持久跨站(存储xss ):最直接的危害类,跨站代码存储在服务器(数据库) (2)非持久跨站(反射xss):反射跨站脚本漏洞,最普
CTFHUB-技能树-Web题-XSS-反射
Static______的博客
04-11 1557
参考链接:https://blog.csdn.net/weixin_43486981/article/details/107974878。特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。输入admin后,会在页面显示,猜测可以通过该输入,改变页面内容。根据提示,把XSS平台给出的代码复制到第一个输入框中进行注入。提交后,在第二个框中访问第一个框注入XSS脚本后的网址。XSS platform平台,在上面注册一个账号。提交后,在XSS平台查看注入结果。
CTFHUB xss 反射
yzl_007的博客
08-12 817
CTFHUB xss 反射 跨站脚本攻击XSS XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话。 类 DOM。属于反射的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。 存储。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。 反射。需要攻击者提前构造一个恶意链接来诱使客户点击。 wp 测试 成功弹窗,存在xss 在第二个输入框复制url发送,返回成功
ctf xss利用_利用存储XSS跨站漏洞偷取用户Cookie实战
weixin_42611310的博客
02-23 1631
声明 :严禁读者利用以下介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !攻击者要偷取Cookie , 就要让他们精心构造的恶意代码在受害者的计算机上运行 , 一般来说 , 是在用户访问一个网页的时候执行一段JavaScript代码 , 这段代码会...
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全Web安全是网络...
CTFhub XSS技能树
07-28
XSS(跨站脚本攻击)技能树是一个由CTFhub创建的学习路径,旨在帮助初学者逐步学习和掌握XSS攻击的技术。以下是XSS技能树的一般路径: 1. 基础知识: - 学习什么是XSS攻击以及它的原理和分类。 - 了解XSS攻击的...
Web应用安全存储XSS.pptx
06-18
**存储XSS详解** 存储XSS,全称为存储跨站脚本攻击,是Web应用安全领域中的一种常见威胁。它与反射XSS的主要区别在于,存储XSS的恶意脚本不是通过URL参数传递,而是直接存储在服务器的数据库中,通常在...
CTFHub xss存储 wp
qq_73661602的博客
07-20 976
CTFHub xss存储 wp
CTFHUB XSS反射
qq_51558360的博客
04-04 416
查看是否能弹框 <script>alert("xss")</script> 尝试弹出自己的cookie发现是空的 <script>alert(document.cookie)</script> 后面发现只能通过下面的输入框来执行XSS测试,于是我们只能用XSS测试平台解决问题 注册一个xss平台,然后再创建一个项目 项目名称随便填写,勾选默认模块就够了,点击下一步 这时会出现一个找个将代码复制 回到题目,将代码复制点击发送 回到xss平台: .
CTFHub | web——xss存储
2301_76435948的博客
09-28 728
提交后无任何变化提交后:将本页url粘贴到第二个框中:得到flag。
CTFHUB-WEB-XSS-反射
weixin_43486981的博客
08-13 4080
CTFHUB-WEB-XSS-反射知识点:跨站脚本攻击XSS题目XSS platform平台 知识点:跨站脚本攻击XSS XSS允许恶意web用户将代码植入到提供给其它用户使用的页面中。 特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话 类: DOM。属于反射的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。 存储。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。 反射。需要攻击者提前构造一个恶意链接来诱使客户点击。 防
CTFHub——XSS
2302_79119987的博客
03-28 1243
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
ctfhubxss
小宇的web博客
05-22 1680
ctfhubxss 1.我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 解题流程 1.先在上面的what’s your name 输入JavaScript语句,发现出错只能使用xss平台在下面的对话框中进行xss漏洞注入。 这里先注册一下xss测试平
CTFhub 反射xss
luminous_you的博客
12-06 1096
查看是否能弹框 尝试弹出自己的cookie发现是空的 XSS平台 第一个输入框 <sCRiPt/SrC=//xs.sb/T391>//可以看到图片中下面那个是我们的,没有cookie 第二个输入框复制url输入,他第二个输入框是将url发送给了机器人(相当于管理员,这样我们就获取到了管理员的cookie)//图片上面那个是机器人的cookie中含有flag http://challenge-6d1eed70035be632.sandbox.ctfhub.com:10080/?name=%
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值