Bonus Payload(有效载荷)
描述:在 DOM XSS 挑战中使用奖励支付load。
payload:复制代码到搜索框中即可。
代码语言:javascript复制<iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https://api.soundcloud.com/tracks/771984076&color=#ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true"></iframe>
DOM XSS
描述:基于DOM型的XSS攻击
payload:
代码语言:javascript复制<iframe src="javascript:alert(`xss`)">
机密文件
描述:查阅机密文件
我们点击关于我们,发现有个超链接。点击超链接并在burp中抓包。
修改ftp前面的内容。可以看到如下文件信息。
依次点击阅读,这关也就通过了。
Bully Chatbot
这关就很简单了,意思是和机器人聊天,获得优惠卷,当聊条内容含有code时,机器人会发你优惠卷。
Exposed Metrics
描述:找出后端服务使用常见监测软件获得的服务器数据
通过访问官网中的文档可查阅到默认的后端入口地址(localhost:3000/metrics)。
Missing Encoding
描述:检索Bjoern猫"乱斗模式"的照片。
点击照片墙,发现一个图片没有加载出来,对图片审查元素发现图片的url为<img _ngcontent-utp-c241="" class="image" src="assets/public/images/uploads/
