0x00 xss-labs
原文链接请点击:https://www.cnblogs.com/ruoli-s/p/14285233.html
最近在看xss,今天也就来做一下xss-labs通过挑战。找了好久的源码,终于被我给找到了,因为在GitHub上大家也知道那个下载速度,所以,我也就直接转接到自己的码云上去了,在这也贴出来,欢迎大家下载使用。
源码链接请点击:https://gitee.com/ruoli-s/xss-labs
安装没啥好说的,直接放进自己搭建好的www目录下,就可以开始闯关了,xss-labs一共有level 20,做着看吧。
(其实觉得这些图片才是我真正想做xss challenge的最大原因
)
0x01 Level 1 无过滤机制
看了半天,原来参数在URL里放着呢,
修改参数,页面也随之变动,右键查看源代码,发现有跳转到level 2 的JS,而我们传入的参数是几位的,下面就显示payload的长度。
OK,直接走代码:
<script>alert(/xss/)</script>
0x02 Leval 2 闭合标签
我们直接输入level 1 的 payload,发现直接输出了,这里应该是做了实体转义。
F12查看前端代码:
第一处就是显示在页面上的代码,第二处是我们输入的代码,这里应该是做了转义,我们构造payload,使用">尝试闭合input标签:
"><script>alert(/xss/)</script>
0x03 Leval 3 单引号闭合+htmlspecialchar()函数
来到Leval 3,我们还是先使用上两关测试的payload来验证:
发现全部被实体转义了,我们去看源代码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
咳咳,发现对双引号“做了限制,但是却放行了单引号',而且居然在value这里也加了htmlspecialchars函数,这种情况我们可以通过事件标签触发表单执行。这里开始构造payload:
'οnmοuseοver='alert(/xss/)
可以看到,在提交之后,没有立刻弹出,这里我们还需要将鼠标移动到文本框,让事件触发。
补充:
0x04 Leval 4 双引号闭合+添加事件
我们还是一样,使用前面测试过的,先一一过一遍,当然,结果必然是失败的,那么接下来我们看全端代码:
可以发现源代码对>和<进行了过滤,我们看源代码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
确实使用str_replace()对尖括号进行了过滤,而且对单引号'做了防御,所以,我们直接模仿上一题,使用HTML事件,构造payload:
"onmouseover="alert(/xss/)
这里也是成功过关。
0x05 Leval 5 javascript伪协议
终于来到了第五关,我们使用前面的方式都测了一遍,失败无疑,但是发现了一些其他东西:
貌似on被做了手脚,我们继续在o后面输入其他,发现只有on被替换了,这也就意味着事件是不能用了。
继续尝试发现<script>也被进行了替换<scr_ipt>,
到这里相信大家都想到了,我们试试大小写混用:
最低0.47元/天 解锁文章
6720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
