Bonus Payload(有效载荷)
描述:在 DOM XSS 挑战中使用奖励支付load。
payload:复制代码到搜索框中即可。
DOM XSS
描述:基于DOM型的XSS攻击
payload:
机密文件
描述:查阅机密文件
我们点击关于我们,发现有个超链接。点击超链接并在burp中抓包。
修改ftp
前面的内容。可以看到如下文件信息。
依次点击阅读,这关也就通过了。
Bully Chatbot
这关就很简单了,意思是和机器人聊天,获得优惠卷,当聊条内容含有code
时,机器人会发你优惠卷。
Exposed Metrics
描述:找出后端服务使用常见监测软件获得的服务器数据
通过访问官网中的文档可查阅到默认的后端入口地址(localhost:3000/metrics
)。
Missing Encoding
描述:检索Bjoern猫"乱斗模式"的照片。
点击照片墙,发现一个图片没有加载出来,对图片审查元素发现图片的url为
这里图片没有被解析出来,因为URL中包含了特殊的符合需要进行一个转换,就会导致一些异常,这里把url中的 #
改成 %23
即可。
Outdated Allowlist
在js文件中搜索关键词redirect?
访问url即可。
Repetitive Registration
点击注册页面,审查元素按钮,将disabled="true"
删除即可。这时我们只输入用户名,其他为空,便可以直接注册。
Zero Stars
点击客户反馈页面,对按钮审查元素,去掉disabled="true"
这时我们只需要输入验证码就可以提交了。
版权属于:逍遥子大表哥
本文链接:https://blog.bbskali.cn/3444.html
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
此处评论已关闭