hack101 CTF 做题记录(一)

原创
2020/11/14 21:23
阅读数 39

想在hackone玩会,就有了此文。有的也不会,惆怅   

第一题

右键源代码查看,发现了个东东

访问之

提交

下一题

简单的看了下,只有一个留言版

在Markdown Test编写的内容会在testing中显示,那么就很简单了,尝试构造xss payload

但是过滤了,简单的绕过下;<scr<script>ipt>alert(/xs/)</scr</script>ipt>。但是还是被过滤了,我返回上一页的时候,弹窗了

但是这道题还有flag,留言板还要绕过

使用payload;<svg/onload = alert(/xss/);>

成功弹窗,但是没有flag
使用;<img src="x" onerror="alert(/xss/);">,原来在源代码里

我自己在平常的测试中常用的XSS payload,打很慢,直接找的插件。

第三个flag,倒页面

第四个flag

第二题

flag1

回到登录页面,尝试万能密码

报错注入,sqlmap一把搜子

登录,得到一个flag

第三个flag username;admin 'union select '123456 password 随便填写

第三题

第一个flag,更改


剩下的还在做,哈哈哈

本文分享自微信公众号 - 渗透云笔记(shentouyun)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部