渗透测试之---xss-labs闯关【1-14关】

已于 2022-07-27 07:31:19 修改
阅读量2.9k 收藏 10
点赞数 2
分类专栏: 渗透测试 文章标签: web xss 安全
于 2020-04-18 20:23:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168364/article/details/105523753
版权

万能检测语句 <SCRscriptIPT>’”()Oonnjavascript,通过它我们可以知道过滤了那些东西。
这条语句将给我们本次的闯关之旅带来极大的帮助。

第一关

[POC:<script>alert(/pig/)</script>]

首先看到了有查询字符串,我们心花怒放了。
在这里插入图片描述
先万能检测一下

在这里插入图片描述
好家伙啥都没有过滤,那就很easy了
在这里插入图片描述
在这里插入图片描述

第二关

[POC:><script>alert(/pig/)</script>]

有输入框,万能检测一下,去看看代码
在这里插入图片描述
什么都没有过滤我们只要把value和input标签一闭合就搞定了
在这里插入图片描述
输入”><script>alert(/pig/)</script>即可
在这里插入图片描述

在这里插入图片描述

第三关

[POC: ‘type=’button’ onclick=’alert(/pig/)]

万能检测查看源代码
在这里插入图片描述
双引号”被过滤了

在这里插入图片描述
可以用单引号’把value闭合,再创建一个事件即可

在这里插入图片描述
在这里插入图片描述

第四关

[POC: “type=”button” onclick=”alert(/pig/)]

万能检测查看源代码

最低0.47元/天 解锁文章
通地塔
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS lab 1~14
m0_74047291的博客
11-10 238
xss初学者的作业
[网络安全]xss-labs level-14 解题详析
等风来
08-04 2488
以上为[网络安全]xss-labs level-14 解题详析,后续将分享[网络安全]xss-labs level-15 解题详析。我是秋说,我们下次见。
XSS靶场闯关(xss-labs)
最新发布
小郑的博客
04-22 1872
对数据进行了是否含有http://做了判断,并对键字做了替换,把数据加到了a标签的href属性中,在属性中的数据可以考虑编码,并利用js的注释符//注释掉http://当前页面上有两个输出地方,一个输出到了h2标签,后台进行了实体编码,另一个输出到input标签的value属性,没有进行html实体编码,考虑闭合input标签。对on,script进行了替换,将数据加到了input标签的value属性中,没有进行实体编码处理,可以考虑a标签的href属性,可以直接写伪协议。
xss-labs靶场训练(14-20)
ldzhhh的博客
05-25 1778
第十四 这一iframe调用的文件地址访问失败,已经无法测试了。 这主要考察exif xss漏洞,具体可以参考前辈的先知文章:exif xss 第十五 后台键代码: <html ng-app> <head> <meta charset="utf-8"> <script src="angular.min.js"></script> <script> window.alert = function
xss闯关(1-20)
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-10 569
XSS(Cross-Site Scripting)是一种常见的Web攻击技术,攻击者通过注入恶意代码,使得在用户访问受到攻击的网站时执行并影响用户的浏览器。XSS攻击通常被用于盗取用户信息、会话劫持、篡改网站内容等非法目的。
xss-labs靶场实战全通详细过程(xss靶场详解)
热门推荐
金 帛的博客
07-13 2万+
xss靶场一到二十详细教程
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有xss漏洞攻击专项练习,一共有二十,也是小白的看门砖吧!
xss-labs.zip
03-18
xss-labs是一个网站,其中包含了20个含有XSS漏洞的网页,用于学习XSS
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
01-30
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料:2个版本,共25个课件文件 01.WEB安全简介 02.信息收集 03.漏洞扫描 04.HTTP协议 05.SQL注入之基础篇 07.暴力破解 08.文件上传漏洞 09.命令执行漏洞 10....
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
经典的xss注入通游戏,搭建简单。适合网络安全测试人员
Xss小游戏通攻略带解释
sirius的博客
08-28 5436
Xss小游戏通攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一。 第一:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
XSS-14、15注入靶场闯关(小游戏)——第十四、五
qq_39330735的博客
02-04 955
XSS-15注入靶场闯关(小游戏)——第十五,文件链接注入通详解
【网络安全 --- xss-labs靶场通(1-10)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-21 3900
【网络安全 --- xss-labs靶场通(1-10)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
XSS-Game 通教程,XSS-Game level1-18,XSS靶场通教程
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
BuuCTF[第二章 web进阶]XSS闯关
m_de_g的博客
07-27 5311
** [第二章 web进阶]XSS闯关 ** 一、解题思路 1.一来看了一下题目的说明 我们需要执行alert函数 那就开启闯关模式,第一,一看这个URL就很奇怪没直接上手,二话没说成功下一 http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level1?username=<script>alert('xss')</script> 通过观察url,我惊奇的发现闯关卡,是由level1,level2…,我
XSS-Labs靶场搭建
tubug的博客
05-21 1328
XSS-Labs是一个用于学习xss注入的平台,使用php编写的后台代码,一共有20,每一 都有不同的xss注入漏洞,我们要找出漏洞,并且通过漏洞注入代码,方可以通
xsslab练习
menghuangjh的博客
10-26 251
第七 输入一波键词,发现都被过滤,类似于文件上传。 想到了双写绕过,试了一下 发现可行,构造payload:"><sscriptcript>alert('1')</scripscriptt><" 第八 还是先来试一下发现<>和"被过滤所以考虑用Javascript:alert(1) 发现被script被替换了。试了下双写还是不行。最后试了下html的实体编码。发现可以绕过。于是构造payload:&#106;&#97;&#...
XSS-13注入靶场闯关(小游戏)——第十三
qq_39330735的博客
02-04 157
XSS-13注入靶场闯关(小游戏)——第十三讲解,请求头注入,cookie类型
xss-labs第14
08-18
XSS-labs的第14中,我没有找到相的引用内容来提供详细信息或解答您的问题。 但是,XSS-labs是一个用于学习和测试跨站脚本攻击(XSS)的平台,每个卡都有不同的挑战和漏洞。在第14中,您可能需要利用某种XSS漏洞来完成任务。您可以尝试查看卡的源代码、输入不同的payload来测试和找到漏洞,并以创造性的方式绕过安全措施。请记住,在现实世界中,利用XSS漏洞是违法的行为,请确保您只在合法的环境中进行测试和学习。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [XSS-labs通](https://blog.csdn.net/u010277543/article/details/120937928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [渗透测试---xss-labs闯关【1-14】](https://blog.csdn.net/qq_43168364/article/details/105523753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值