【XSS】XMAN个人排位赛xss赛题writeup

0x01 前言

讲道理,之前每次遇到xss的题就很发憷,因为不会呀,这次XMAN个人排位赛的两道xss赛题让我对于xss有了更深入的认识,这里整理一下writeup

0x02 xss1

首先,进入页面

【XSS】XMAN个人排位赛xss赛题writeup_第1张图片

是一个留言框,下面有一个md5后四位的校验码
然后写了一个python脚本用来生成校验码

import hashlib
for i in range(1000000):
    if hashlib.md5(str(i)).hexdigest()[:4]=='cdc1':
       print i 
       break

留言板嘛,很容易想到是xss,先用


试了一下,果然能弹窗,xss无疑了,并且发现这里的我写的语句只是单纯的被输出到了页面里,这样应该是一个非常简单的xss利用了。

【XSS】XMAN个人排位赛xss赛题writeup_第2张图片

然后fuzz了一下,发现这里没有过滤任何参数,所以很适合我这种新手呀。。。。
通过抓包看到的resoponse包的header,我们能够发现他的csp策略,定义了所以来源都要跟与本页面同源,因此可以用link预加载标签进行绕过。关于CSP的学习和绕过可以参考这篇文章http://www.jianshu.com/p/f1de775bc43e

【XSS】XMAN个人排位赛xss赛题writeup_第3张图片

然后写利用的js代码


在我们的服务器上,要

nc -l port

在href的属性里填写自己的服务器的ip和端口,这段代码的意思就是当对方admin查看我们的留言之后,就会自动的访问我们的服务器,服务器通过监听端口,来得到admin的cookie值。这里在admin的cookie中得到了flag

【XSS】XMAN个人排位赛xss赛题writeup_第4张图片

0x03xss2

打开页面,还是熟悉的页面,还是熟悉的套路。不过这次更难一些。
这里还是脚本跑验证码,然后发送留言,burp抓包发现这次没有这个CSP策略,fuzz之后发现他把单引号替换成了_下划线,所以可以利用双引号进行绕过。用上个xss的脚本打过去发现这次没有返回cookie。。想到了今年国赛有道xss的题也是没有cookie返回的题,又想到题目描述中说flag在flag.php里面,然后发现只有管理员才能访问flag.php,那么就很明显了,让admin用iframe打开一个flag.php的子窗口,然后子窗口中链接到我的服务器,这样就能将消息带给我了,我就能收到flag了。



然后得到flag

你可能感兴趣的:(【XSS】XMAN个人排位赛xss赛题writeup)