XSS挑战

已于 2023-06-18 14:14:12 修改
阅读量335 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: xss 前端 网络安全
于 2023-06-18 14:13:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p3232734559/article/details/131270691
版权

前言:这里是有关于xss靶场的练习,是一个很常见的靶场,链接放在下面。你们也可以去下载源码使用小皮去搭建,下面开始我们的练习!

目录

 链接

level1

level2

level3

level4

level5

level6

level7

level8

level9

 链接

欢迎来到XSS挑战https://xssaq.com/yx/

level1

 

 这里我们的输入点在url上,直接使用常见代码注入

<script>alert(1)</script>

level2

直接使用代码注入,发现失败

使用F12查看元素

发现我们的代码给value包住了,那么我们使用">闭合

 

level3

这里同样使用闭合,但是我们发现这里把"<"  ">" 这两个东西转为HTML实体编码

那么我们构造事件去完成注入

' οnclick='alert(1) 

level4

这里同样构造事件,提醒:这里要使用双引号闭合

level5

这里同样使用构造事件来尝试注入,但是发现他好像把这个方法干掉了,应该是用了str_place函数

 那么我继续使用第二关的闭合方式去闭合

注入是成功了,但是没有形成我们想的标签,那么我们就换一个标签尝试

注入成功!

level6

同样使用闭合方式进行注入

注入失败,使用a标签进行尝试

同样失败,那么我们可以试一下对标签进行大小写绕过

这里使用大小写绕过,注入成功!

level7

这里同样直接使用闭合注入

 失败了,是把我们的<script>标签里的script替换成空,那么我就直接双写script就好了

level8

 这里直接给了链接,那么我直接写一个伪链接上去: javascript:alert(1)

这里他同样是吧script给干掉了,我们就可以构造事件来进行注入

额。。。6!那么我们只能对我们写的代码进行编码了,直接转成html编码

HTML字符实体转换,网页字符实体编码HTML字符实体是指用特定的编号写入HTML代码中代替特定的字符,用于解决一些网页显示字符的问题。本页面可以将输入的字符转换为字符实体,以便于在网页中使用。https://www.qqxiuzi.cn/bianma/zifushiti.php 

而后进行注入

 

 注入成功!

level9

这里我们同样使用上一关的代码进行注入,但是失败了

 这什么鬼?!!不合法?!!http?

给他个合法看看

 得,那么我们同样使用上一关的代码,而后在最后面添加一下//http://

 这里我们使用 // 注释掉后面的内容

注入成功!! 

好了,目前只会这一点,后面的等我学成归来再写。。。

 

夜思红尘
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
靶场通关-XSS挑战之旅(1-5)
m0_56634355的博客
06-04 1366
直接使用在线靶场网址:https://xss.angelo.org.cn本地搭建xss靶场,这个简单百度吧点击图片后,进入下图:我们可以看到用于js弹窗的代码顺利执行了 看看源码,分析一下 接下来去服务器端看看这一关的源码......
XSS挑战之旅1-10关
weixin_52116519的博客
11-15 1279
XSS漏洞介绍。
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 3850
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1303
xss挑战前十关
网络渗透知识
weixin_67611296的博客
04-07 3789
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 192.168...
xss-board:使用 Zombie.js 的简单 XSS 挑战示例
06-13
这是使用 Zombie.js ( ) 进行简单 XSS 挑战的示例。 机器人将每三分钟访问一次网站(取决于下面的 crontab 设置)并执行它找到的所有 Javascript 代码。 配置它 调整 cookie ('mag1c_c00k1e') 和标志 ('put_flag_...
ctf-browser-visitor:Bot访客服务,应对CTF中的XSS挑战
05-04
ctf浏览器访问者 Bot访问者应对CTF中的XSS挑战 http://127.0.0.1:5000/visit?job={"url":"url_to_visit","cookies":{"key":"value"}}
Intigriti-XSS-challenge:这将包含有关intigriti xss挑战的解决方案和吸取的教训以及技巧和窍门
04-02
Intigriti-XSS挑战这将包含有关intigriti xss挑战的解决方案和吸取的教训以及技巧和窍门
【技术分享】Intigriti史上最难XSS挑战Writeup .pdf
09-05
【技术分享】Intigriti史上最难XSS挑战Writeup 漏洞分析 大数据 应急响应 安全防御 安全架构
XSS20关练习源码
09-04
包含20关XSS练习的源码。文件都为PHP类型,下载个phpstudy就可以搭建起来了。我已经通过了,所以共享出来给大家练习。
17-xss漏洞
qq_56414082的博客
03-29 512
onload 事件会在页面或图像加载完成后立即发生。onload 通常用于 元素,在页面完全载入后(包括图片、css文件等等。)执行脚本代码。Browser Exploitation Framework(BeEF) BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。启动BeFF-XSS并登陆进去可以通过命令也可以图形化页面。
xss-challenge(挑战之旅1~13)
weixin_55404107的博客
10-21 303
好。
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 2724
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 993
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS挑战之旅[全20关]上
ldkpolite007的博客
05-06 2472
Contents 0x01 0x02 0x03 0x04 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式
Web安全攻防渗透测试
m0_63223219的博客
04-05 6759
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
xss-labs靶场通关payload
weixin_51339377的博客
04-18 664
地址: 欢迎来到XSS挑战 流程: 1.正常人 正常去输入即可 2.标准测试代码输入 找相应的互动点有哪些 查看网页源代码 3.寻找注入点 构造payload提交即可 ssaq.com dsds' value=javascript:alert(1) Level1 url:https://xssaq.com/yx/level1.php?name=test <h2 align=center>欢迎用户test</h2><center><..
渗透实用的工具网站 希望对你们有用,
m0_56214376的博客
03-16 3528
希望对你们有用, 以前找东西,要么记不住,要么找不到 http://dns.aizhan.com(ip翻查域名绑定) http://ping.chinaz.com/ https://www.17ce.com/ (检测是CDN) https://xssaq.com (xss平台) http://whois.chinaz.com/ (域名信息查询) http://stool.chinaz.com/same (旁站查询) https://www.webscan.cc/ ...
ctfhub技能树xss
最新发布
07-28
CTFHub的技能树中有关于XSS(跨站脚本攻击)的内容。XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本来攻击用户浏览器,从而窃取用户信息或者进行其他恶意操作。在CTFHub的XSS技能树中,你可以学习到以下内容: 1. XSS基础知识:了解XSS的概念、分类和原理。 2. XSS攻击类型:学习常见的XSS攻击类型,包括反射型、存储型和DOM型XSS。 3. XSS攻击场景:了解XSS攻击在不同的Web应用场景中的实践方法,如评论框、搜索框等。 4. XSS防御措施:学习如何预防和防御XSS攻击,包括输入过滤、输出编码和内容安全策略等。 5. XSS挑战与实战:通过CTF题目和实际场景模拟,提升对XSS漏洞的发现和利用能力。 请注意,这只是CTFHub技能树中关于XSS的一部分内容,更详细的内容需要你自己去学习和探索。祝你学习愉快!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值