首页 > 其他分享 >pikachu-Cross-Site Scripting通过攻略

pikachu-Cross-Site Scripting通过攻略

时间:2024-08-22 21:54:59浏览次数:12  
标签:xss 爆破 pikachu Site Cross alert 点击 第二步 输入

反射型xss(get)

第一步:进入先将maxlength中的20修改大一些,以便我们可以输入更多的字符

第二步:输入<script>alert(1)</script>成功爆破 

反射型xss(post) 

第一步:点击提示得到用户名和密码登录

 第二步:输入<script>alert(1)</script>成功爆破 

存储型xss

在留言框里输入<script>alert(1)</script>成功爆破 

DOM型xsS

第一步:输入‘οnclick=“alert(1)”然后点击click me!

 第二步:点击如图所示,弹出1,爆破成功

 

DOM型xss-x

第一步:输入’οnclick=“alert(1)”然后如图所示进行点击

第二步:如图上所示进行点击,爆破成功 

 xss之盲打

第一步:在留言框里输入<script>alert(1)</script>然后提交

第二步:根据提示进入后台登陆,进入之后爆破成功

xss之过滤 

输入<sCript>alert(1)</sCript>然后点击submit,成功爆破

xss之htmlspecialchars 

第一步:输入οnclick="alert()"如图所示进行点击

第二步:点击如图所示,爆破成功

xss之href输出

第一步:输入JavaScript:‘alert(1)’

第二步:点击”自己点一下“吧哪里,成功爆破 

 

xss之js输出

输入‘</script><script>alert(1)</script>爆破成功

标签:xss,爆破,pikachu,Site,Cross,alert,点击,第二步,输入
From: https://blog.csdn.net/m0_75036923/article/details/141432747

相关文章

  • pikachu靶场XXS通关攻略
     1.反射型xxs(get)在搜索框输1界面有停留 进行xxs攻击输入时发现长度不够F12打开控制台修改输入<script>alert(1)</script>2反射型xxs(post)点击提示进行登录输入<script>alert(1)</script>3存储型xxs输1停留界面输入<script>alert(1)</script>4.DOM型xxs......
  • nextjs 客户端图片 因跨域 strict-origin-when-cross-origin 无法展示
    使用next.config.js配置跨域规则Next.js提供了一个配置文件next.config.js,你可以在其中配置images选项,以允许跨域加载图片。在Next.js中,remotePatterns配置用于定义允许加载远程图像的域名及路径。不过,remotePatterns并不支持传统的正则表达式,而是使用类似正则表达式......
  • 【原创软件】第10期:PDFCrossMergeV1.0-实现两个PDF交叉合并,适用于PDF扫描件合并,单文件
    解决问题:扫描件合并,由于大部分扫描件是正面一个pdf,反面一个pdf,尤其是正面顺序,反面逆序的pdf,需要交叉合并,也就是说适合单面扫描文件合并。即解决【正面顺序,反面逆序】文件A,扫描文件页码顺序:1、3、5、7、9。文件B,扫描文件页码顺序:10、8、6、4、2。这种合并问题。合并结果是1、2、3......
  • 【Abaqus】Composite Layup建模
    abaqus的3个复合材料建模途径:传统的material->section->orientation->step->job的建模方式CompositeLayup建模方式CompositeModeler(CM)插件-建模方式本文是我对compositelayup复合材料建模的理解和回顾,仅供参考。compositelayupmanager支持三种单元类型:con......
  • Cross-Image Attention for zero-shot appearance transfer
     1.Introduction探讨appearancetransfer的背景下进行图像操作,目标是将一个图像中概念的视觉外观转移到另一个图像中存在的概念上,例如,将斑马的外观转移到长颈鹿上,完成这一任务需要首先将长颈鹿和斑马之间在语义上相似的区域进行关联,然后通过这些关联转移,而不改变长颈鹿的结......
  • 成功安装torch但使用却Error loading “..\Lib\site-packages\torch\lib\fbgemm.
    OSError:[WinError126]找不到指定的模块。Errorloading"..\lib\fbgemm.dll"1.问题不大,实际上是fbgemm.dll缺少了一个依赖文件。可以用Dependencies来查看。下载地址:https://github.com/lucasg/Dependencies/releases选择你电脑喜欢的配置下载一个release.zip下......
  • 提升SEO与网站可爬性 :动态生成sitemaps和robots.txt文件
    本文由ChatMoney团队出品在现代Web开发中,搜索引擎优化(SEO)是网站成功的关键因素之一。搜索引擎通过网络爬虫来索引网页,而sitemaps和robots.txt文件则是帮助这些爬虫更好地理解和索引网站内容的重要工具。sitemaps简介Sitemap(站点地图)是一种XML文件,它包含了网站上的所有URL以......
  • 动态生成sitemaps和robots.txt文件:提升SEO与网站可爬性
    本文由ChatMoney团队出品在现代Web开发中,搜索引擎优化(SEO)是网站成功的关键因素之一。搜索引擎通过网络爬虫来索引网页,而sitemaps和robots.txt文件则是帮助这些爬虫更好地理解和索引网站内容的重要工具。sitemaps简介Sitemap(站点地图)是一种XML文件,它包含了网站上的所有URL以......
  • bugbountyhunter scope BARKER:第十滴血 存储型 Storage Cross-Site Scripting XSS 添
    登录后点击MemberDogs,Addyourdog头像处可以上传SVG图片检查xsspayload:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传,发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2bfd-sec875.a.barker......
  • bugbountyhunter scope BARKER:第九滴血 存储型 Storage Cross-Site Scripting XSS SVG
    登录后来到Myprofile页面,页面里存在一个EditProfile头像处可以上传SVG图片检查xsspayload:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传,发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2......