打开就是这样的界面
打开Testing
点击edit this page ,发现有留言的功能,于是想到经典xss:
<script>alert()</script>
点击保存了之后,出现在页面上面,但是没有弹窗
点击go home,出现弹窗,获得第一个flag
在刚刚编辑框的内容里面填上xss语句
发现script和<>被过滤
使用<img src="x" one rror="alert(/xss/);">
成功弹窗,发现flag在源代码里面
第二个flag就被找到了
有一个create的界面,填入内容之后的界面如下
这个时候注意到url中是/page/8
之前Testing和Markdown界面的url分别是/page/1和/page/2
那么中间的那些page在哪里呢,burpsuite抓取/page/8的响应包,并发送到intruder,遍历page后面的数字
用number字典从1到8遍历,步长是1,开始攻击
发现有page/6的状态是403的响应包
响应提示没有权限
这个时候注意到每一个页面都是由展示页面和edit编辑页面组成,抓取编辑页面的响应包,遍历数字
可以看到page/6的状态变成了200,同时查看响应包,发现第三个flag
在后面加上单引号,尝试sql注入,遍历
得到第4个flag
标签:响应,遍历,v1,flag,Micro,ctf,page,弹窗,页面 From: https://www.cnblogs.com/cll-wlaq/p/18002937