第一次实战:XX漫画的XSS盲打
第一次实战:XX漫画的XSS盲打
XSS盲打
盲打是一种惯称的说法,就是不知道有没有XSS漏洞存在的情况下,不顾一切的输入XSS代码在留言啊投诉窗口啊之类的地方,尽可能多的尝试XSS的语句,就叫盲打。一句话,就是干,往死里使劲干。
Interesting,哦,不对,Disgusting的发现
(竟然有这种荼毒人们思想的坏东西。。。不看不看)
但我同学看的是欲罢不能、血脉喷张。
幸好后面章节要充值。。。
他说:“这不好使,师哥告诉过我们‘能白嫖绝不充钱’。”
那行吧,帮他一下,方便他人也是方便自己
让我看看个人设置
点开问题反馈
输入XSS 语句:
'">
然后提交,等待管理员看到,就有可能触发哦吼吼吼!
但接下来需要漫长的等待
(这里说一下为什么不去免费网站:因为免费的话管理员可能不会常来,我还得写今周的学习报告。。。(=_=))
一发入魂
比较幸运,前天发的XSS,今天就收到了信息,在XSS后台就看到了打中消息,让我们访问后台,替换cookie进入。(替换PHPSESSID的value即可。)
进入后台。
白嫖开始!
