留言板WEB 未解决
分数:
10
金币:
3
题目作者:
harry
一 血:
꧁༺༽༾ཊ彪ཏ༿༼༻꧂
一血奖励:
5金币
解 决:
2299
提 示:
题目无需登录后台!需要xss平台接收flag
描 述:
http协议需要http协议的xss平台
评分(15)
解题动态
MC何失眠 攻破了该题 10小时前
yangcan666 攻破了该题 16小时前
Asamllcoder 攻破了该题 18小时前
huanying1247 攻破了该题 1天前
2200130448 攻破了该题 2天前
18993762527 攻破了该题 3天前
X9527C 攻破了该题 4天前
lszwmm 攻破了该题 4天前
xiao37 攻破了该题 4天前
JinYeTU 攻破了该题 6天前
guqiyuan 攻破了该题 7天前
yqwapc001 攻破了该题 7天前
Spirita 攻破了该题 7天前
junkbird 攻破了该题 7天前
Vinsonx 攻破了该题 8天前
srsr233 攻破了该题 8天前
ZhouShaoyang 攻破了该题 8天前
Graito 攻破了该题 9天前
18225355670 攻破了该题 9天前
评论
Fut4b4Ri0 1年前
举报
题目有问题 扫不到db.sql
Miracle. 1年前
举报
找了一圈wp,发现都是db.sql找到账号和密码,但是实际上是没有的,也许这是作者口中的非预期解法,所以这种解法行不通
Seraphine 1年前
举报
@Miracle. 好吧看来我这个小白是没有办法解题目了
Miracle. 1年前
举报
@Seraphine 我用的账号密码,wp里的
Seraphine 1年前
举报
老哥你是怎么过的呢‘
lysandria 1年前
举报
直接用在线xss平台,发现过滤了挺多字符的。试过插入图片、过滤字符使用html编码、url编码方式进行绕过。最后发现平台接收到了,但不知是哪个方式可以。
XuxiaobaiCTF 1年前
举报
3、个人猜想:admin.php,应该是一个管理员界面,前端收入的信息,在管理员界面可以查看,进而构造payload,应该可以在管理员界面看到flag的提示 4、对于账号和密码,难道需要进行爆破么? 希望做出来的大神们给予解答啊,感谢感谢
XuxiaobaiCTF 1年前
举报
2、再网上看到了通过python,使用dirsearch扫描目录,运行语句包括: python dirsearch.py -u url python dirsearch.py -e -u url 均可以扫描出admin.php,但是找不到所谓的db.sql,找不到账号和密码,没有登录进去
XuxiaobaiCTF 1年前
举报
靶机到期了,没解出来,说一下解题思路,和后续想法,供大家交流。 1、通过提示,查了半天xss注入,也尝试了类似于<script>alert("xss")</script>等语句,均不管用,查看源代码,没有看到明显过滤信息,应该是我自己水平太低的缘故。
kn797 1年前
举报
看题目提示 别只看别人写的答案。登录admin 嗯 那个密码也试了 确实是对的 。。。 很奇葩的是其实后台是有做XSS过滤,但是你只要找个XSS平台 注册一个或者自己搭一个 把最基础的XSS语句写进去会有相应的模拟反馈。 就会收到flag
Unny 1年前
举报
@kn797 我明白了,谢谢大佬,就是说平台相当于自动模拟了管理员登录的过程对吧
kn797 1年前
举报
@Unny 是靶场模拟的 只要你输入了XSS平台的payload 模拟程序会自动发送 那个也不是真实的cookie
Unny 1年前
举报
大佬请教一下,这个flag应该是需要管理员登陆之后才能收到吧,那么没有管理员登录是怎么收到flag的呢
Qstyy 1年前
举报
nb
jaxluoqs 1年前
举报
找不到db.sql啊,不知道各位怎么拿到的账号密码
Unny 1年前
举报
请问通过bluelotus生成获取cookies的代码之后,怎么让管理员登录呢