目录
level11
我们查看页面源代码发现相比第十关的表格多了一个t_ref,我们猜测其可能接收的是referer的值,经过一系列测试,发现在t_sort中对传入的参数做了实体化特殊符号以及将字母全部转换为小写的操作,所以我们转从t_ref下手,于是我们利用bp抓包,增加referer,放到重发模块检验
于是我们将添加referer后的包放行
点击1按钮即可成功弹窗
level12
查看页面源代码
据此推测只需要抓包修改UA的值就可以了
修改UA放行后,页面会出现严格1按钮,点击即可成功弹窗
level13
方法与上一关完全一致,只是修改的是cookie的值
level14
这关有点问题,先跳过
level15
首先我们查看源代码,发现参数被传送到了span标签中的class属性中
发现在传入的参数前有一个ng-including:,经过查询知道其功能是包含一个外部html文件且ng-including包含的文件中不能执行script标签的语句 所以此时我们可以设想将第一关的文件包含到该页面下,并弹框,所以我们可以构造:'level1.php?name=<img src=1 οnerrοr=alert()>'即可成功弹窗,
level16
首先我们还是查看源代码,发现,我们传入的参数直接放在了一对标签之间
我们尝试直接传入:<script>alert()</script>,发现script和/以及空格都被替换成了其它的字符
因为/被替换了,所以我们要找一个不需要闭合的标签来进行弹框,所以就想到了img标签,然后又因为空格也被替换成了其它的字符,所以我们可以使用url编码的%0a即回车来带替空格,所以我们可以传入<img%0asrc=1%0aοnerrοr=alert()>,就可以成功弹窗