二向箔-百日打卡writeup21-25

NO.21

xss弹窗测试
在这里插入图片描述直接填入<img src=x onerror=alert(1)>
在这里插入图片描述发现并没有弹窗,则打开F12看下情况,可以看到被value包含了,那么可以在输入框这样写,“ onkeydown="alert(1)回车可以看到我们输入的值被当作标签内容了在这里插入图片描述在输入框按下一个字则会弹窗,也可以尝试下用onkeyup,当你在输入框中手指按下一个键放开时,则会弹窗
在这里插入图片描述

NO.22

这个标签也是输入标签,那么可以直接跟上题一样,双引号闭合前面的值,再输入οnkeyup=alert(1)//,也就是" onkeyup=alert(1)//
//是用来注释掉后面的字符
在这里插入图片描述可以看到onkeyup生效了
在这里插入图片描述任意输入,弹窗
在这里插入图片描述

NO.23

根据提示,有两种思路,1是修改referer,2是添加XFF头在这里插入图片描述先来尝试修改referer
利用burp抓包,修改referer为127.0.0.1在这里插入图片描述

NO.24

提示都说用<script>弹窗了,无疑是xss,那么这道题应该也是存在过滤手段的
在这里插入图片描述传值方式为GET传值,那么直接输入<script>alert(1)</script>
在这里插入图片描述很明显被过滤了
在这里插入图片描述尝试双写绕过,大小写绕过<scrscriptipt>alert(1)</scrscriptipt>

在这里插入图片描述

NO.25

这道题跟22题很像,不过尝试其他的方式进行xss
在这里插入图片描述
输入" onmouseover=alert(1)//
在这里插入图片描述这个出发的条件是鼠标经过我们的输入框,则就会弹窗
在这里插入图片描述

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>