HTB—OnlyHacks
0x00 前言
立了Flag,今年要完成12台Lab,避免将一些内容遗弃或者放下。此为今年第一台,在开机前,我也不知道难易程度,只能说当做老年恢复训练,尔尔。
0x01 正常逻辑
访问后发现是一个登录的界面,有一个注册功能,一般是选择先走完基础功能再看问题。
那么尝试注册一个账号看看,这里一定要注意图片要上传,不然会一直报错
注册后发现可以直接登录,进入了一个选人匹配的页面。
左右划拉划拉,发现一个永久在线的人
右上角匹配选择和她聊天看看,发送了一个hello,然后回复消息了。
除此之外,没有看到什么额外的功能。
0x02 Pass
题目提示了XSS,那肯定是出在这里了,随便找一个xss平台获取cookie试一下
啥防护都没有做,打到cookie了,没啥东西,相对无趣。
切换session即可获得flag
其他补充资料-htb介绍
Hack The Box 是一个在线平台,主要用于网络安全学习和渗透测试技能的提升。
真实世界的模拟环境 :它提供了各种各样的虚拟机器(称为 “boxes”),这些机器模拟了真实世界中的网络环境和系统配置。用户可以通过攻击这些 boxes 来学习和实践漏洞利用、权限提升、网络扫描等技能。例如,有的 box 模拟了一个小型企业的内部网络,包括有漏洞的 Web 服务器、内部数据库服务器等,用户需要像真实世界的黑客一样去发现和利用这些漏洞。