做了一个XSS的闯关游戏,攻略贴上来

最新推荐文章于 2024-04-30 05:17:19 发布
最新推荐文章于 2024-04-30 05:17:19 发布
阅读量8.7k 收藏 6
点赞数
分类专栏: web 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yd0str/article/details/17297971
版权 

游戏地址:
http://xss-quiz.int21h.jp

第一关:比较简单,直接输入
http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9

第二关:也相对简单,闭合标签
http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb208fa757ee5cdae22f6818cd1
"><script>alert(document.domain);</script>
 
第三关:http://xss-quiz.int21h.jp/stage-3.php?sid=9b217ccdc6e28f1a018d6df366553a6152bc65f5
客户端会把输入点的特殊符号给过滤掉,这个地方开始的时候难住了,没想到怎么绕过去
后来查了下,说有用tamper data工具,拦截提交请求,所以也尝试一下
(思考点,原输入点被过滤,看附近是否还有其他注入点科绕过,比如这题,可以对select部分进行绕过
因为这个地方客户端应该不会过滤)
用tamper data 拦截search请求,然后修改p2值为
Japan</option><script>alert(document.domain)</script>
成功。这个地方也不确定,有人这么做,

第四关:
http://xss-quiz.int21h.jp/stage_4.php?sid=293c09bc53b81045a43ac5a79ac535daacbeae87
直接输入,肯定是不对的,这个输入点也是被过滤的,要绕过客户端的这种符号的过滤,跟第三个类似
点击输入框,查看元素,发现还有一个隐藏的框,直接在查看元素的修改invisible:hideen为text
这样在这个框内输入注入串:text,
然后输入:hackme"></input><script>alert(document.domain)</script>

第五关:
http://xss-quiz.int21h.jp/stage--5.php?sid=40b33710efa4a848d21b5a6dd47671e82c31d853
字符串截断+标签闭合
这种形式的是客户端限制的,我们还是通过抓请求包,修改请求包的方式进行绕过
用tamper data拦截请求,并且注意input标签属性的闭合
”><script>alert(document.domain)</script>;

第六关:
http://xss-quiz.i
最低0.47元/天 解锁文章
code_AV
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 473
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
BugKu Web WriteUp
AlexYoung28的博客
08-24 2200
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
最新发布
2401_84186109的博客
04-30 637
3)第三步:弹窗测试,回车即可弹窗,自动进入下一关。4)从源码可以看到,第一关没有任何过滤。​​​​​​​​。
Web安全--XSS(跨站脚本攻击)
bobo_milk的博客
11-14 813
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
ctf入门(转载)
wxy201008的博客
08-28 2134
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
网络信息安全攻防学习平台-脚本关 writeup
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
xss、脏牛提权.zip
06-18
在给定的“xss注入闯关小游戏”中,我们可以深入理解这种攻击方式,通过模拟真实场景来学习如何防御和识别XSS攻击。 XSS攻击主要分为三种类型:存储型XSS、反射型XSS和DOM型XSS。存储型XSS是将恶意脚本存储在服务器...
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 438
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
xss-labs 通关笔记
Ewige的博客
06-30 471
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 544
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
XSS跨站脚本攻击过程最简单演示
热门推荐
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
【CyberSecurityLearning 57】XSS
_Co1a
04-06 1061
XSS漏洞 XSS 漏洞概述 * 简介 XSS 作为OWASP TOP 10 之一, XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS 可以非常灵活的操作html、css和浏览器,这使得XSS 攻击的“想象”空间特别大。(也就是说我们一个地方可以人为的手工注入...
xss相关【面试题】
anan的博客
12-16 1万+
xss面试题
测试xss
qq_45815609的博客
04-07 227
xss测试
xss-labs大佬在线教学
weixin_45541855的博客
08-25 359
https://www.zhaosimeng.cn/writeup/113.html
[第二章 web进阶]xss闯关 1
04-10
XSS是指跨站脚本攻击。它是一种利用Web应用程序中的漏洞,向用户的浏览器中注入恶意代码的攻击方式。攻击者通过注入恶意代码,可以窃取用户的敏感信息,甚至控制用户的电脑。在Web应用程序中,应该采取安全措施,禁止用户输入可执行的代码。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值