shikata ga nai

Private? There is no such things.

GruyereでFile Upload XSS

Hello there,

 

Gruyereのサイトを拝見すると。

スクリプトを実行できるファイルをアップロードできるかとのこと。

ヒントは、スクリプトを含めたHTMLファイルをアップロードすると。

 

f:id:ThisIsOne:20191207163130p:plain

 

さっそくヒントに書いてあるスクリプトを含めたHTMLファイルを作成して。

 

f:id:ThisIsOne:20191207170458p:plain


作成して保存したファイルを選択して。

アップロードして。

 

f:id:ThisIsOne:20191207164352p:plain

 

アクセスできるURLが表示されるものの。

このままコピーしてはうまくいかず。

 

f:id:ThisIsOne:20191207170339p:plain


localhostを使用しているのでIPアドレスの箇所を変更して。

 http://localhost:8008/365269109238757048046658769742853119857/test/test.html

アクセスしてみると。

スクリプトが実行できた。

 

f:id:ThisIsOne:20191207170207p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain