xss靶场通关笔记

什么是xss

xss是指网页中嵌入客户端脚本，对客户端进行攻击，受害者为这个站点的使用用户。

如果站点由后端管理员登录，那么数据就会泄露，从而造成危害。

xss出现漏洞的原因

最常见的攻击代码就是javascript语言，当然也有其他的语言。

只要是浏览器能够解析的就可以。

漏洞出现的原因是对输入和输出的控制不太严格，没有经过一些过滤，导致精心构造的脚本代码在输入以后，在输出到浏览器前端中被解析从而造成危害。

xss的分类 

1——存储型

xss我们一般在输入的窗口中输入js代码，如果在发送到服务端后，又会发送到数据库中，那么这种就叫做存储型xss，这种是持久性的。

2——反射型

反射型就是发送给服务端后，就会直接返回给客户端，不会储存在数据库当中，这种是一次性的，一旦刷新之后之前提交的数据就看不到了。

在xss中，弹出对话框，即意味着成功通关。

3——DOM型

DOM为一个与系统平台和编程语言无关的接口，程序和脚本可以通过这个接口动态的访问和修改文档内容，结构和样式。当创建好一个页面并加载到浏览器以后，DOM就产生了，它会把网页文档转化为一个文档对象，主要功能是处理网页内容。

一般不与后台服务器产生数据交互，但是也存在存储型。

domxss就是通过js代码操作dom型文档对象模型时出发的漏洞。

xss可能出现的地方

html位置，属性位置，URL位置，style位置，script位置。

xss测试方法

1工具扫描

2手工测试

xss的几个攻击示例

以下在pikachu中xss完成

1——（cookie获取）

攻击者利用XSS在网站中插入恶意脚本，一旦用户访问该网页，cookie就会自动地发送到攻击者的服务器中去。

攻击者服务器搭建一个php页面，用于接受被害者远端传过来的cookie

2——反射型xss（post）获取cookie

如果是get请求我们可以伪造一个链接。

如果是post请求（xss）我们可以伪造一个html页面。（我们先伪造一个网址，其中写好我们的攻击逻辑，然后想办法让别人打开，要想办法让自动触发）

3——钓鱼

前提是页面渲染足够的逼真

我们还是往网站中插入一段js代码，然后用户在点击的时候，就会被我们所写的js代码攻击，然后就会将用户的一些信息发送到攻击者的电脑上。

4——获取键盘记录

我们在网站中输入一段js代码，然后受害者在打开这个网站以后，输入的内容就会发送到黑客的电脑上面，从而获取数据。

level-1

在网站中我们点击F12查看源代码，发现网站上方的url中的test就是我们h2标签中的test

 于是我们就进行修改，将url中的test进行修改，构造语句，就会弹出下面的对话框

name=<script>alert(1)</script>

 level-2（闭合）

我们还是尝试输入一下第一关的代码，发现无响应

我们查看一下源代码吗，发现我们输入的内容被html实体化了

HTML实体编码，格式 以&符号开头，以;分号结尾 

 我们查看一下前端的代码，发现我们输入的值在value里面

于是我们在这里进行大胆的猜测， 联想到之前pikachu靶场中的xss，我们可以在这里尝试一下闭合语句，先把前面的input闭合，在搜索框中输入下列内容。

"><script>alert(1)</script>

htmlspecialchars()函数特殊字符转换为HTML实体，即：“ < ”，“ > ”，“ ” ”字符均会被过滤
但在input标签中，value未存在过滤措施，故可以利用此处进行测试

成功弹出弹窗

 level-3（闭合+触发）

我们继续尝试前面两关的script代码，发现没有弹窗

查看后端代码，我们发现input标签也被hmtl实体化了，但是默认支队双引号和一些特殊符号进行编码，没有对单引号进行编码

只有加上下列的参数，才会进行编码 

于是我们尝试构造其他的闭合

我们在这里输入

' onclick='alert(1)'

 点击搜索之后，我们再点击一下搜索框，就会出现弹窗。

我们还有onfocus事件，是用来获取鼠标光标的，只要鼠标光标在上面，就会一直显示弹窗。

还有onblur事件，当鼠标点击输入框时是没有效果的，当我们点击页面的其他地方的时候，就会出现弹窗，也就是光标离开事件。  

level-4

我们还是先把上一关的代码输入进去，点击F12查看前端代码，发现我们没有将value的值给闭合掉，于是我们就再添加一个双引号进行尝试，发现成功。

level-5

我们先将第三关的代码输进去，发现没有闭合成功，我们再将第四关的代码输入进去，发现闭合成功，但是我们却发现o和n之间出现了一个下划线_,而且结果如下

我们再尝试了一下其他的on标签和js代码，发现依然不行，会出现下划线。

于是我们换一种思路，我们添加一个a标签。

'"><a href='javascript:alert(123)'> 

我们再点击一下蓝色部分，弹窗成功 

我们查看一下源代码，发现对on和script做了一下的修饰。 

level-6 

我们先将第五关的代码拿过来尝试，结果发现href属性被加工了，

那么我们在这里就考虑大小写的问题，是不是只小写进行了加工还是对大写也进行了加工呢。 

'"><a HREF='javascript:alert(123)'> 

我们发现并没有对大写进行了一个加工，成功弹窗。 

查看一下源代码，发现没有对大写进行替换。 

level-7 

 将第六关的代码输入，说明进行了一个scrip标签的替换

既然之前我们已经尝试过了大小写的替换，那么我们现在尝试一下双写字母替换 

'"><a HRhrefEF='javascript:alalertert(123)'> 

发现成功的绕过。 

 level-8

我们将前几关的代码都输入进去，发现都无法成功，大小写双写都不可以。

然后我们发现我们的内容直接输出到了a href标签中，于是我们不用添加a href标签了

 

我们直接javasript即可。输入下面内容javascript:alert("lizhiwei")。

我们发现双引号被编码了。

 

 那么我们在这里就尝试一下编码绕过。

使用网站Unicode编码转换工具,ASCII与Unicode互转 - 在线工具集 (gitapp.cn)

 将下面的代码复制进去，发现成功完成。

level-9 

我们先随便输入一个，会进行提示，您的链接不合法

那么我们输入一个合法的链接，输入个https发现不行，我们再输入一个http，发现可以，说明服务端那边进行了一个判断，也就是有没有http协议。

我们输入javascript:alert("lizhiwei")//http://，发现js被替换了

 我们对javascript进行一个编码

然后发现 成功添加。

点击

level-10 

我们发现页面中是没有输入框的，而且我们在上面的url中输入内容会随之改变，当我们输入一些代码时发现也没有作用。

那吗我们看一下源代码，发现有三个隐藏的标签属性

 那么我们就在上面的url中搞事情

我们输入(t_link=1&t_history=1&t_sort=1)

发现下面的t_sort显示了1

 于是我们输入  t_sort='"type='text'οnclick='alert(123)'

将hiden属性去掉，使得出入框弹出。先使用双引号将前面的value闭合掉。然后成功通关。

这个type属性，谁在前面就用谁。 

level-11 

我们查看源代码，发现还是有隐藏的标签

我们还是在上面输入t_link=1&t_history=1&t_sort=1

发现t_sort有了value

将上一关的代码输入 

发现没有闭合掉

其实这里已经没有漏洞了，我们仔细观察一下第十关跳转到第十一关的发，发现下面的ref那里有值。

那么我们就可以修改里面的内容，我们在这里使用bp ，开启拦截。

我们将Referer里面的值修改，我们换成和第十关一样的payload，t_sort='"type='text'οnclick='alert(123)'

点击放行，然后就成功完成。

level-12 

我们还是开启抓包，刷新一下第十二关，发现ua里面的值

我们还是用第十关的payload替换掉 然后ok。

level-13

还是开启抓包，我们修改cookie的值即可

level-14 

这一关的题本身就有问题，跳过

level-15

进入15关发现报错了，这是怎么回事呢？

其实是上面的路径报错了，我们稍加修改即可。

我们发现上面的nginclude我们并不认识，我们输入的内容展示在了这了，那么我们先去了解一下这个是什么意思 。

我们先引入第一关的php 

既然这个是引进一个html文件的，那么我们把第一关的引用过来并且构造一个payload，但是发现script标签被过滤了

那么我们就换一个标签，比如img标签

 %27http://127.0.0.1/xsslab/level1.php?name=1<img%20src=1%20οnerrοr=alert("lizhiwei")>%27

 

 level-16

输入上一关的payload，查看源代码，我们发现空格被编码了，在html里面，不管你输入空格还是回车都会变为一个空格，那么我们可以输入回车，我们将回车进行url编码

然后发现成功

 level-17

 看到这里我们可以闭合一下src，给他添加一些事件属性

'οnmοuseοver='alert("lizhiwei")'，即可成功

 

level-18 

将上一关的payload输入，发现就ok了

这两关就是用的那个embed标签。 level-19andlevel-20

这两关是基于flash进行的，但是由于flash漏洞实在是太多了，所以一些浏览器就禁用flash了。

我电脑上也没有flash。这两关pass。

完结。