当前位置: 首页 > news >正文

门户网站建设工作室在线制作动态图片自动生成

news 2025/12/21 9:50:11
门户网站建设工作室,在线制作动态图片自动生成,苍南网站建设shaoky,临沭县住房和城乡建设局网站本文主要对XSS-labs靶场进行介绍#xff0c;给出了我一步步怎么发现漏洞的过程。 目录 第一关 第二关 第三关 第四关 第五关 第六关 第七关 第八关 第九关 第十关 第十一关 第十二关 第十三关 第十四关 第十五关 第十六关 第一关 没啥好说的#xff0c;直接…本文主要对XSS-labs靶场进行介绍给出了我一步步怎么发现漏洞的过程。 目录 第一关 第二关 第三关 第四关 第五关 第六关 第七关 第八关 第九关 第十关 第十一关 第十二关 第十三关 第十四关 第十五关 第十六关 第一关 没啥好说的直接干 scriptalert(1)/script 第二关 随便输一下没反应ctrlu看源码 发现在value里闭合 scriptalert(1)/script 第三关 随便输一下然后看源代码 发现把和给编码了那就不用尖括号用onmouseover注意闭合 οnmοuseοveralert(1) 第四关 对于这种编码的我们可以输入一个万能匹配script Oonn看看它过滤了啥 发现干掉了还是用onmouseover οnmοuseοveralert(1) 第五关 还是script Oonn先试 发现大写干掉了并且字符 o 和 r 后面会加上 _ 除了script和onmouseover还可以用 a hrefjavascript:alert:alert(1)click/a a hrefjavascript:alert:alert(1)click/a 第六关 script Oonn先试 还是一样r 和 o加了_但没过滤大写 scRiptalert(1)/scRipt 第七关 script Oonn先试 发现script和on直接干掉了还过滤了大写 但是我们可以写两个on oonnmouseoveralert(1) 第八关 此题有一个友情链接但我们还是script Oonn先试 我们看哪个呢这个友情链接自带href了我们可以直接注入它然后点击来过关。 写 javascript:alert(1) 还是不行。这里还有一个新思路对字符进行实体编码 转换网址HTML字符实体转换网页字符实体编码 实体编码HTML也能认规则是 #x 16进制数 ; 如 r 是 #x72; javasc#x72;ipt:alert(1) 第九关 script Oonn先试 直接不给机会说不合法 这题有点刁钻源码是说输入必须要有 http:// 才行 javasc#x72;ipt:alert(http://) 第十关 script Oonn先试 好像都没啥用但是有三个hidden标签 我们都一一赋值看看 发现 t_sort 是突破点 给 t_sort 赋值 script Oonn 发现干掉了那就 onmouseover 发现可以那我们只要把hidden标签去掉就行 t_sort type οnmοuseοveralert(1) 第十一关 发现和第十关一样先试试突破点在哪t_link1t_history1t_sort1t_ref1 发现还在 t_sort试试script Oonn 发现 和双引号过滤了这个思路断了换一下。 发现一开始 t-ref 有一个valuereferer是标识从哪里访问来的 要看refer我们就要抓包然后加一个Referer字段试试 发现已经有了 在Request包内添加 Referer: type οnmοuseοveralert(1) 第十二关 上一题是加Referer字段那么这一题会不会同类型呢看看源代码 果然这次我们修改User-Agent字段 成功 在Request包内修改 User-Agent: type οnmοuseοveralert(1)  第十三关 此关同理先查看源代码 发现是要修改Cookie字段 成功 在Request包内修改 Cookie: user type οnmοuseοveralert(1)  第十四关 十四关是通过源代码中的一个网址来上传带有XSS的exif图片来做 但这个网址挂了这里就不演示了 图片的XSS这里可以改 第十五关 十五关乍一看好像没啥看看源码有一个ng-include 这是用来嵌入别的网页的。我们来试试level1.php 发现第一关能用第一关的get请求是name输入script Oonn看看屏蔽了什么。 尖括号和双引号都html转义了那就用onmouse来做 可以写一个img标签插入到网页中 鼠标放上去就成功过了。 srclevel1.php?nameimg src1 οnmοuseοveralert(1) 第十六关 十六关发现给了一个test改一改试试 on还能用并且发现在center标签内那就还是上题的思路做一个img放进去 发现空格被转义了。空格转义在HTML中可以用换行来表示换行的URL编码为%0a 鼠标放上去即可成功。 keywordimg%0Asrc1%0Aοnmοuseοveralert(1) 最后四关都是跟flash有关但flash已经挂了这里就不演示了。 感谢你能看到这里o(*▽*)ブ
http://www.pierceye.com/news/33306/

相关文章:

  • 快速网站开发课程上海个人网站制作公司
  • 安徽免费网站制作wordpress博客站点统计代码
  • 企业营销型网站公司seo关键词优化举例
  • 宁波网站制作怎样哪些平台可以做推广
  • 秀山微信网站建设镇江公交优化
  • 方案图网站青海省教育厅门户网站学籍查询
  • 汕头做网站优化的公司国内最好用免费建站系统
  • 学做网站要学什么东西深圳做网站优化费用
  • 做网站都需要什么技术wordpress加速cdn
  • 葫芦岛市建设局网站做网站报价明细表
  • 静态网站建设报告百度恶意屏蔽网站
  • 离退休部门网站建设情况微信网站 影楼
  • 南京网站c建设云世家淮安做网站杨凯
  • 包头移动的网站建设开发软件的app有哪些
  • 阿里云建设网站要什么修改wordpress登录
  • 贵州省住房和城乡建设厅网网站首页微商城小程序app开发
  • 好的摄影作品网站wordpress建站环境
  • 做公益网站需要什么资质中国建设监理企业协会网站
  • 舆情服务网站最新足球新闻头条
  • 海山网站建设广告策划书格式
  • 绍兴网站制作网站做牙的网站叫什么
  • 水果网站源码网站建设订单
  • 沈阳.....网站设计做网站哪里便宜
  • 网站开发 明细企业如何 建设好自己的网站
  • 手机制作购物网站软件外包公司是什么意思
  • 网站建设资源做守望同人的网站
  • 网站建设 我们是专业的网站没备案如何做淘宝客
  • 现在有没有免费的网站网站优化公司哪家好
  • 如花建站网站标头设计
  • 哪个网站可以做封面炫酷手机网站模板