通过题目得知,目标存在存储型xss漏洞,用户在某处输入恶意xss代码会被正常保存并解析。
到达目标站点位置,查看可以用户可以输入的地方,发现留言板可以留言。,进行测试:
在能输入的地方插入测试代码<script>alert(‘XSS’)</script>,提交留言后查看:
右键审查元素,发现主题部位我们输入的代码没有显示在界面上,其他地方都显示了代码,所以主题的位置输入的代码被认为是javascript代码执行了,而下面的内容被html标签添加了语义得到正常显示
下面想办法获取管理员cookie,使用xss平台,将以下代码插入到xss漏洞出现的位置:
提交后返回xss平台等待管理员查看留言,此段插入代码被执行,代码中链接的代码内容得到执行,可以获取管理员cookie:(成功看见flag)
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.