level1![在这里插入图片描述](https://img-blog.csdnimg.cn/ec878fe03d2b40fb9784fe92176c6a4d.png)
看看源码
看三个箭头指向,可以发现它是通过GET传参name参数,值为“test”,并且在页面回显回来,还显示了name参数值的字符长度。
那么就很明显是反射型XSS了,那就先从简单的开始,直接在name参数中赋值一个简单的弹窗来测试
可以看到服务端对输入的参数没有任何过滤,服务器直接将我们的恶意代码原封不动的返回并且解析了,浏览器才能成功弹窗
level2
还是GET传参所以应该还是反射型XSS
继续用上一关的恶意代码,发现报错了
看一下源码
可以看到<h2>
和</h2>
标签之间的恶意代码被编码了,其中<
和>
都被编码成了html字符实体。但是在下面的value的参数值中的恶意代码没有被编码而是直接原样返回。这里有个问题就是这段恶意代码是插在标签属性值里面的,浏览器是不会解析的,但是由于<h2>
标签的恶意代码被编码了,那么就只能从这个进行突破。那么就可以构造payload
?keyword="><script>alert('xss')</script>//
输入的"
闭合了value属性的双引号,输入>
闭合了input标签的<,那么后面输入的<script>aler('xss')</script>
就变成了HTML新标签,//
注释掉后面原有的双引号和>。
那么看看level2.php是怎么实现过滤的
箭头1处将get方式传递到服务器端的keyword参数的值赋给str变量。
在箭头2处是用htmlspecialchars()函数对变量str进行处理之后显示到网页上。
在箭头3处却是直接将变量值插入到了标签的value属性值中
因为这里并没有对敏感字符进行编码和过滤,所以可以通过构造实现XSS攻击。
level3
还是直接上恶意代码,发现报错
两处都对<
和>
进行了编码
这里可以通过<input>
标签的一些特殊事件来执行js代码,构造payload:
level3.php?keyword='οnfοcus=javascript:alert('xss')>//
//
用于注释掉后面的字符。
发现没有直接弹窗,这是因为onfocus事件的特殊性造成的
onfocus 事件在对象获得焦点时发生。
输入内容的时候就是该输入框获得焦点的时候,此时输入框就会触发onfocus事件。因此点击当前页面的输入框就可以完成弹框了。
好几天前写的了,忘记发了,靶场已经打完了,有空补