【活动主题】 Exploiting the "unexploitable"

【活动时间】2017年8月31日24点之前

【活动范围】先知安全技术社区

【活动奖励】

2000元阿里云ECS代金券(成功解题数最多的前五名)


测试环境:

  1. 有些题目可能需要在特定的浏览器下完成。浏览器版本以Chrome60,Firefox55,Safari10,IE11,Edge40或更新版本为准

解题要求:

  1. 请勿使用工具暴力扫描,以免影响其他挑战用户
  2. 所有XSS题目均可以通过让受害者访问特定的链接或页面的方式在受害者的浏览器&当前域下执行JavaScript,换句话来讲,所有题目都不是self-xss
  3. 如果执行域是当前域,alert(document.domain)的弹出结果应该是ec2-13-58-146-2.us-east-2.compute.amazonaws.com

审核:

  1. 把可以攻击其他用户的有效POC(发送答案之前先确认一下你的方案是可以弹别人的,而不是弹你自己)发送到QQ:50421961,POC通过验证后我会把你的ID添加到解题成功者的列表里。Have fun!。
  2. 如果对官方答案有兴趣,可在活动结束后加入QQ群:106985070,在第一时间获得官方答案。

题目列表:

<table> XSS#01. 文件上传 (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#02. getallheaders() (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#03. json (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#04. referrer (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#05. 跳转 (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#06. 强制下载 (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#07. text/plain (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#08. 标签 (添加时间:2017-08-15)---->查看源码---->点我看提示 XSS#09. plaintext (添加时间:2017-08-16)---->查看源码---->点我看提示 XSS#10. MVM (添加时间:2017-08-16)---->查看源码---->点我看提示 XSS#11. HOST (添加时间:2017-08-17)->查看源码---->点我看提示 XSS#12. preview (添加时间:2017-08-17)---->查看源码---->点我看提示 XSS#13. REQUEST_URI (添加时间:2017-08-17)---->查看源码---->点我看提示 XSS#14. HIDDEN (添加时间:2017-08-18)---->查看源码---->点我看提示 XSS#15. Frame Buster (添加时间:2017-08-18)---->查看源码---->点我看提示 XSS#16. PHP_SELF (添加时间:2017-08-18)---->查看源码---->点我看提示 XSS#17. passive element (添加时间:2017-08-23)---->查看源码---->点我看提示 XSS#18. Graduate (添加时间:2017-08-23)---->查看源码---->点我看提示 XSS#19. Party (添加时间:2017-08-25)---->查看源码---->点我看提示 XSS#20. The End (添加时间:2017-08-25)---->查看源码---->点我看提示 </table>

希望完成这些题目的经验,可以对你平时的漏洞挖掘或渗透测试工作带来帮助。Have fun!

有问题可以到社区进行留言,欢迎探讨~

获奖人员:

1. L3m0n (完成18/20)

2. evi1m0 (完成14/20)

3. Mathias (完成12/20)

4. xq17 (完成11/20)

5. PKAV (完成10/20)


Hall of Fame

XSS#01. Mannix,L3m0n,Aegis,xq17,nearg1e,mogujie,evi1m0,w4f05,phantom0301,blackwolf
XSS#02. L3m0n,mogujie,Aegis,evil7,PKAV
XSS#03. L3m0n,mogujie,Mazing
XSS#04. zusheng,feiyu,Mannix,Evi14ui,L3m0n,V@1n3R,Scriptkid,xq17,Mathias,mogujie,evi1m0,nearg1e,Mazing,Aegis,maya66,w4f05,RickyHao,DK,phantom0301
XSS#05. evi1m0,zusheng,xq17,V@1n3R,riverheart(河流之心),L3m0n,Mathias,phantom0301
XSS#06. Flyin9(数据流),xq17,kingdom017,L3m0n,evi1m0,evil7,Mathias,DK,Scriptkid,Aegis,phantom0301,blackwolf
XSS#07. evi1m0,MagicBlue,L3m0n,riverheart(河流之心),xq17,Aegis,PKAV,RickyHao,Mathias
XSS#08. PKAV,L3m0n
XSS#09. L3m0n
XSS#10. evi1m0,z0z,L3m0n,riverheart(河流之心),xq17,nearg1e,Mathias,phantom0301,Ox9A82
XSS#11. L3m0n,nearg1e,evi1m0,RickyHao,Mathias
XSS#12. L3m0n,Mathias,PKAV,phantom0301
XSS#13. nearg1e,Mannix,p4ny,Scriptkid,xq17,L3m0n,Mathias,evi1m0,mogujie,DK,maya66,wps2015,RickyHao,Aegis,riverheart(河流之心),PKAV,phantom0301,w4f05
XSS#14. Mannix,Scriptkid,z0z,evi1m0,xq17,Evi14ui,p4ny,L3m0n,V@1n3R,feiyu,朽木,秋风,Mazing,raul17,Mathias,mogujie,L1p,TaeJa,DK,omego,gethin,w4f05,小毒物,wps2015,RickyHao,Aegis,update,PKAV,blackwolf,nearg1e,ding13,phantom0301
XSS#15. PKAV,L3m0n,evi1m0,Mathias
XSS#16. L3m0n,riverheart(河流之心),xq17,Mannix,feiyu,evi1m0,PKAV,Mathias,RickyHao
XSS#17. L3m0n,evi1m0,mogujie,Mathias,nearg1e,Scriptkid,Aegis,仲ma,p4ny,DK,xq17,wps2015,evil7,PKAV,blackwol,Evi14ui,phantom0301,Ox9A82
XSS#18. L3m0n,PKAV,evi1m0,xq17
XSS#19. 落
XSS#20. evil7,evi1m0

番外篇#01. 落

源代码回复可见

[attachment=6865]

先知XSS挑战赛源码.zip (0.0 MB) 下载附件
点击收藏 | 2 关注 | 1
登录 后跟帖