CTF零基础入门指导第二节
CTFUTF7-XSS
【实验思路】
UTF-7:这是一种使用7位ASCII码对Unicode码进行转换的编码。它的设计目标仍然是为了在只能传递7为编码的邮件网关中传递信息。UTF-7对英语字母、数字和常见符号直接显示,而对其他符号用修正的Base64编码。符号+和-号控制编码过程的开始和暂停。所以乱码中如果夹有英文单词,并且相伴有+号和-号,这就有可能是UTF-7编码。
【题目】
可以看出题目与XSS相关,并给了一个编码过的URL。
【实验步骤】
- 将url链接复制粘贴到burpsutie,(“Decoder”,“decode as”->url),进行url解码。
- url解码后可以看到如下,里面有“+/v++”,可以猜出这是UTF-7编码
- 讲+/v++与-之间的内容复制粘贴,并保存为html文件,在IE浏览器中打开,(因为ie浏览器默认可以解析utf7编码)。
可以看到ie浏览器解码并执行了刚才那段utf7编码后的代码,得到key。
(摘自实验吧课程)
