ISI CTF Lv.1 – XSS

声明

本系列文纯属作死娱乐向。认真的请出门右转。

正文

ISI出新的CTF玩具了。上地址

Level 1ISI CTF

首先,小小吐槽一下网站做工.....

ISIctf-lv1-1

第一关是个XSS的 (Cross Side Scripting – OWASP A3) 题。

自己表示完全没有难度的说(~ ̄▽ ̄)~

启动我亲爱的小耗子~~Firefox菌~

要求往文本框里扔一个payload~

那就进去看一眼~

ISIctf-lv1-2可以看到两个文本框都有限制,那就先搞死 Site Name 的验证:

ISIctf-lv1-3来吧,F12菌~

ISIctf-lv1-4删掉限制后就可以扔进去一个普通的payload:

然后.....就CTF了?

ISIctf-lv1-5

这尼玛算个毛啊!!!(╯‵□′)╯︵┻━┻

回去再瞥一眼源代码.....

ISIctf-lv1-6尼玛屏蔽了不早说........老子可是尊贵的QQ会员啊~

找到罪魁祸首:

ISIctf-lv1-7内容是这样的:

高亮行说的很明白了,人家就这么简单粗暴~~

用了一个简单的trim+replace就屏蔽了script

运用偷梁换柱法吧加载的js脚本这部分内容换掉:

ISIctf-lv1-8

成功

ISIctf-lv1-9

撒花O(∩_∩)O

ISIctf-lv1-10

睡觉去撩~~~

 

声明: 本文采用 BY-NC-SA 协议进行授权 | Deamwork
转载请注明转自《ISI CTF Lv.1 – XSS
本文地址:https://www.deamwork.com/archives/isi-ctf-lv1.orz6

回复 (0)

› 尚无评论。

发表评论 修改评论取消编辑

允许使用的标签 - 您可以在评论中使用如下的 HTML 标签以及属性。

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img src="" alt=""> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

 :mrgreen:  :|  :twisted:  :arrow:  8O  :)  :?  8-)  :evil:  :D  :idea:  :oops:  :P  :roll:  ;)  :cry:  :o  :lol:  :x  :(  :!:  :?:

引用通告 (0)

› 尚无引用通告。

欢迎来到Deamwork! o(∩_∩)o
X