xss注入
这里有两种方法
1.比较耍赖的方法
打开网址
我们右键,f12。都会收到提示。并且不会执行。
我们直接去设置里找web开发者查看源代码。
被标注出来的字就是我们要的flag。
2.题目告诉我们alert弹窗就会成功。
所以我们需要想办法让含有图片的那个界面弹窗。
我们先去web开发者选项中找到控制台。
我们同样可已看到源代码,这时我们需要在空白框里做文章。
每当我们向白框输入东西的时候,总会返回我们输入的东西。
这个时候我们就会看到vlaue里有123。
所以我们要想办法插入Javascript 中的 alert()函数使其弹框。只要弹框我们就会得到我们想要的东西。能输入的地方只有白框内。
我们会用到<script></script>标签。也就是我们需要闭合标签。
<input name="keyword" value="">我们输入的东西在value的双引号里,首先闭合标签。
"><script>alert(2312313135)</script>
转载链接:https://www.jianshu.com/p/576694d0d29f
本文始发于微信公众号(LemonSec):ctf xss注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论