101,【1】buuctf web BUU XSS COURSE 1

dal118网工任子仪2025-02-06 16:45

进入靶场

随便提交看看

访问此路径

知道这是存储型xss注入

开始xss注入

试试<script>alert(1)</script>

<script>alert('xss')</script>

都不行,应该是把script过滤了

试试双写

<scriscriptpt>alert('xss')</scricriptpt>

双写成功,不过用处不大,知道< >没有被过滤

换一个

<img src=# onerror=alert(1)>

也可以

寻找平台,创建项目

https://xssjs.com/

选择超强默认模式

复制其中提供的代码,要选择已知未被过滤的

成功提交项目里便得到记录

找到cookie和url访问路径

F12修改cookie

相关推荐
小小怪下士_---_1 分钟前
uniapp开发微信小程序自定义导航栏
前端·vue.js·微信小程序·小程序·uni-app
前端W3 分钟前
腾讯地图组件使用说明文档
前端
页面魔术5 分钟前
无虚拟dom怎么又流行起来了?
前端·javascript·vue.js
胡gh6 分钟前
如何聊懒加载,只说个懒可不行
前端·react.js·面试
Double__King9 分钟前
巧用 CSS 伪元素,让背景图自适应保持比例
前端
Mapmost10 分钟前
【BIM+GIS】BIM数据格式解析&与数字孪生适配的关键挑战
前端·vue.js·three.js
一涯11 分钟前
写一个Chrome插件
前端·chrome
鹧鸪yy18 分钟前
认识Node.js及其与 Nginx 前端项目区别
前端·nginx·node.js
跟橙姐学代码19 分钟前
学Python必须迈过的一道坎:类和对象到底是什么鬼?
前端·python
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04KGG转MP3工具|非KGM文件|解密音频05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)072025最新国内服务器可用docker源仓库地址大全(2025年8月更新)08Spring 调试终于不再痛苦了09TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践10Claude Code VSCode集成开发指南:AI编程助手完整配置