bronze_s的博客

摘要：本文演示了如何在XSS漏洞测试环境（192.168.99.122:9003/xss-labs/level2.php）中利用闭合标签实现弹窗攻击。测试发现直接注入<script>标签会被htmlspecialchars()函数编码，但value属性中的内容未被过滤。通过构造"><script>alert('xss')</script><"参数值，成功闭合input标签并执行JavaScript代码，最终实现弹窗效果。该案例展示了属性值X

666C61677B65633862326565302D336165392D346332312D613031322D3038616135666137626536377D

题目内容：二战的鹰酱截获了敌军发送的密报，但是关于如何破解却无从下手。经过密码学专家分析，这是“不可破译的密码”。但那已经是上个世纪的事了，现在，我相信你肯定有办法。flag提交前添加flag{}cvnwvk lqae bw wzgy czxrxlm gnaoiiaafy. am ara xaufwiu qf fwg mlfckmnv tru aajtwxr pmsd afw rfe zms ehvv bzmn lpiebq yeeuiia. zq hsl qrvq keskw fn jqswtv

解题查看题目：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。打开题目：提示flag不在这里根据题目提示，flag应该在源代码中，右击查看源代码，发现右击不能使用。使用F12或在url前添加view-source:查看发现flag拓展view-source是一种协议，早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性，对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox..

打开实验环境审题这是一个web题，打开指导书目标为10.1.1.147:5001,使用浏览器打开这个地址，可以看到一个web页面。右键查看源代码，可以看到最后一行存在一个flag.txt文件