XSS闯关非完全攻略 1-10

最新推荐文章于 2024-04-08 12:29:47 发布
最新推荐文章于 2024-04-08 12:29:47 发布
阅读量832 收藏 2
点赞数 2
分类专栏: 渗透测试靶场篇 文章标签: javascript xss web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42032483/article/details/105361573
版权
本文详细介绍了从Level 1到Level 10的XSS闯关过程,通过分析源码和尝试不同输入,揭示了各种过滤和转义机制的绕过方法,包括利用事件触发、标签转义、大小写转换等技巧,帮助读者深入理解XSS攻击与防御。
摘要由CSDN通过智能技术生成

XSS闯关非完全攻略 1-10

Level 1

话不多说,让我们直接进入第一关。

发现页面没有输入框,但是根据页面上的欢迎用户test可以找到链接中的name=test
在这里插入图片描述
来试着改变这个值看看有没有什么变化
在这里插入图片描述
在这里插入图片描述
发现页面变了,那还攻击干什么,愣着啊。

<script>alter('dreeee')</script>;

在这里插入图片描述
回车!
在这里插入图片描述

Level 2

点确定进入第二关。
在这里插入图片描述
发现第二关有搜索框了,在搜索框输入下面这行代码,然后搜索。
我愿称之为XSS万能语句(狗头

<SCRscriptIPT>'"()Oonnjavascript;

在这里插入图片描述
反手给它来个查看源码,一起康康是哪里的问题。
在这里插入图片描述
我们可以看到,我们的输入出现在第17行的value中。
ok,我们来加点东西来绕过它在试一次。

"> <script>alert('dreeee')</script>;

在这里插入图片描述
来,兄弟萌,把舒服了给我打在评论区!
这次再来看看源码(学习么,不就是要知其然,然后再知其所以然的过程
在这里插入图片描述
还是第17行

<input name=keyword  value=""> <script>alter('dreeee')</script>">

我们可以看到,我们添加的">使得源代码的中的value语句闭合

<input name=keyword  value="">

从而成功执行了我们的

<script>alter('dreeee')</script>
最低0.47元/天 解锁文章
「已注销」
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
xss challenges闯关详细(6-10
zsynbw的博客
10-28 595
xss challenges闯关详细
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
XSS-labs(1-10闯关详解
m0_46467017的博客
07-25 2847
通过查看可以知道本关与上一关的不同,在于转换后的内容不同,虽然添加了大小写转换,但是因为转换后,字符被转换为空字符,所以转换后的字符如何仍可以组合成,那么就可以绕过该防御机制。进入第八关后,发现无法构造闭合,采用是采用了htmlspecialchars($str)函数,而且闭合方式是双引号,所以input中无法注入,但是在连接里面是有地方可以注入的。右键查看源代码,发现我们输入的>,.........
xss-labs通关攻略教程(level1~level 10
最新发布
2401_84092483的博客
04-08 998
一个好的心态和一个坚持的心很重要,很多冲着高薪的人想学习前端,但是能学到最后的没有几个,遇到困难就放弃了,这种人到处都是,就是因为有的东西难,所以他的回报才很大,我们评判一个前端开发者是什么水平,就是他解决问题的能力有多强。分享一些简单的前端面试题以及学习路线给大家,狂戳这里即可获取891)]由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
Xss小游戏通关攻略带解释
sirius的博客
08-28 5499
Xss小游戏通关攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
xss challenges闯关 1-10
夜思红尘的博客
04-12 451
xss challenges闯关 1-10
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
XSS过关(一) 1~5关 详细
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
04-04 1030
最近在玩xss,就决定把思路写下来,以备忘 第一关 很简单,把test换成<script>alert(1)</script>就行 <script>alert(1)</script> 第二关 也有些简单,找到注入点,发现input标签里的可用 于是加上 "/> 以闭合value,再加上<script>alert(1)</...
XSS Challenges通关教程
qq_48904485的博客
03-22 848
Stage #1 1、输入特殊字符判断位置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cyrE8xMh-1647921893877)(C:\Users\23850\AppData\Roaming\Typora\typora-user-images\image-20211106215932680.png)] 2、构造Payload "</b><script>alert(document.domain);</script> Stage #
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
xsschallenge通关攻略详解
一个努力学习网安的小牛马
11-12 585
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
【网络安全 --- xss-labs靶场通关(1-10关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-21 5353
【网络安全 --- xss-labs靶场通关(1-10关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
XSS练习平台【XSS Challenges】通关秘籍
W小哥
03-02 2247
靶场介绍 靶场地址:http://xss-quiz.int21h.jp/ 相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示 Stage #1 访问目标网站如下图所示 提示:注入以下JavaScript命令 “alert(document.domain)” 输入注入语句: 思路:最简单测试方法,没有任何过滤,注入语句在b标签内 Stage #2 注入语句:1">...
自用XSS闯关攻略
18年3月萌新白帽子
06-19 2682
老师搭建了一个让我们练手的XSS闯关平台,在这里跟大家分享一下,希望在学XSS的同学看过之后能有收获链接如下:http://114.115.183.86/zk/xsstest/xss_platform/code/xss01/index.php?name=chao只要我们能使用JavaScript语言让页面出现一个弹框就算闯关成功,如果页面没能正常跳转,在URL中将xss01改成对应关卡就行例如第8...
XSS——labs初学者通关技巧(1-16)
weixin_54072578的博客
10-31 4512
Less-1 进入页面显示的是这个画面 我们这关用的是最基本的语句之间插入, <script>alert(1)</script> 触发xss漏洞 第一关完成 Less-2 在第二关中我们看到的是这个页面 在这个关卡中我们按照第一关的做法,发现不能成功 查看网页源码 其中搜索语句语句被预编译了 也可以打开关卡的源码查看,发现里面被htmlspecialchars函数处理过。 htmlspecialchars函数功能: 把预定义的字...
xss-labs 1-10 通关攻略
Alexz__的博客
03-17 1413
http://alexzspace.cn/?p=80
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值