锐客网

  1. 首页 > it技术 > >

CTF一些入门题目的wp(一)

ctf

【CTF一些入门题目的wp(一)】1. XSS注入测试 题目链接(http://103.238.227.13:10089)
进入网页后发现
CTF一些入门题目的wp(一)
文章图片

由题目原先的提示得知注入点为id(GET方法),查看网页源代码,发现如下代码 CTF一些入门题目的wp(一)
文章图片
猜测应该是将s赋值为用户传上去的id的值 innerHTML无法执行进来的script可以构造img标签来使script执行
测试一波:http://103.238.227.13:10089/?id=<%20img%20src=https://www.it610.com/article/1%20οnlοad=alert(_key_)/>
有回显 并没有成功,查看此时的源代码,发现<>被编码了 猜测应该是<>被过滤了
考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
http://103.238.227.13:10089/?id=\u003c%20img%20src=https://www.it610.com/article/1%20οnlοad=alert(_key_)/u003e 成功 参考做法:https://blog.csdn.net/wy_97/article/details/77755098

    推荐阅读


    上一篇:Raspberry pi 用python控制PWM ,驱动BLDC伺服电机

    下一篇:从零开始搭建四轮全向底盘