(⊙﹏⊙)因为自己的原因,第一次写的稿子被自己给搞没了,重新打字就变得有点心情不爽,这次的靶场建立之后我发现了在做关卡的时候却出现了一个其他的问题,我搭建的靶场在输入请求之后会自动把我的单引号转为斜杠加单引号,经过一些验证才知道,这是因为php.ini文件配置中的一点小问题,把他全改成OFF就可以了下面上图
顺便也说下靶场搭建吧,简单的github上下载之后,直接解压到你的集成环境里,我用的是phpstudy,就不过多说了,xss注入分为三个类型反射型,dom型还有存储型三种,主要形成的原因就是前端代码对一些敏感的词汇和符号等没有进行有效的过滤。开始正题
LESS-01
直接查看源代码
本题并没有进行有效的过滤直接在url栏里进行注入”
因为恶意代码的<和>被编码,所以要构造闭合所以我们就进行一下手动闭合?keyword=">
LESS-03
输入上一题的结果会发现不行(,老规矩看下源代码
这里需要对标签事件有一定的了解
使用格式为:<input …… onfoucs=‘指定操作’>,本次采用onfoucs进行绕过,当鼠标聚焦时即可成功。
输入:'οnfοcus=javascript:alert(‘xss’) >这时注意并没有直接弹窗,这是因为onfocus事件的特殊性造成的。onfocus是javascript中在对象获得焦点时发生的事件,最简单的实例就是网页上的一个输入框,当使用鼠标点击该输入框时输入框被选中可以输入内容的时候就是该输入框获得焦点的时候,此时输入框就会触发onfocus事件.因此点击当前页面的输入框就可以完成弹框了。
LESS-04
这里源代码就不发了,经过你的测试你就可以发现,他把‘给过滤掉了,那么我们把单引号换成双引号(用于闭合前面的函数)就没什么问题了
LESS-05
经过尝试和多次实验本题是把on中间加了个斜杠,script中间也加了个,故这两个方式都不能能用了,只能通过别的方法"> <a href=javascript:alert(‘xss’) > xss
LESS-06
测试发现把HREF也给处理了但是引用了可爱的str_replace()过滤的,我们直接进行大小写转变,perfect完成"> 
LESS-07
尝试双写绕过xss">alert(‘xss’).成功弹窗
LESS-08
经过无数测试,他完美防范了前面的所有漏洞只能查查新招了,直接给你的注入语句进行个base编码输入进去,完美解决推荐工具hackbar
LESS-09
跟刚才一样的操作发现,并不行看了下源代码,看不懂,于是打开了目录看了下php源代码,
意思大概就是你反正要把http给注释掉就好了利用编码绕过,成功弹窗。
LESS-10
本题在URL进行测试发现第一题的简单套路没有什么卵用,看了看源代码
wow,竟然有额外的表单,那么我们构造参数传进去,看看会发生生么情况。
?keyword=&t_sort=" type=“text” οnclick=“alert(‘xss’)
LESS-11
可以看到如同第十关一样有隐藏的表单,不同的是多了一个名为t_ref的标签。这里先不管它。尝试用上一关的方法看看能不能从这几个标签进行突破注入代码。并不能成功,里面的双引号被编码了,这样浏览器只能正常显示字符但是却无法起到闭合的作用了。这里实在想不出有什么绕过的方法,所以查看源文件代码看看是怎么回事。
我们进行抓包,把t_href的值改成我们的注入语句,然后把HIDDEN属性删掉就可以进行注入了,还有一种方式就是在我们抓包的时候发现他没有referer这个请求头,我们自己添加上后,发现t_href的值就变成了我改的值然后我们改这个值为恶意代码就完成注入了,通过referer头来提交恶意代码触发了XSS。这也从侧面反映了测试XSS漏洞不仅仅需要关注网页源码里面的东西,抓取数据包测试一下有时候也有意外之喜。
LESS-12
可以用11题的方法,修改ua,” οnclick="javascript:alert(/xss/)//注意把hidden属性删掉
LESS-13
先抓包进行测试
可以看到抓取的数据包中cookie头是有值的,而且这个值在响应的网页源码中的t_cook标签中出现了。既然如此,我们就尝试在cookie的值中进行构造语句
LESS-14
额啥都看不到,查了下貌似做不了涉及 exif xss漏洞,exif是可交换图像文件格式(英语:Exchangeable image file format,官方简称Exif),是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。就了解这么多吧
LESS-15
查看了本题的源代码此处用了ng-include指令的话,先了解一下其具体的用法。
1、ng-include 指令用于包含外部的 HTML文件。
2、包含的内容将作为指定元素的子节点。
3、ng-include 属性的值可以是一个表达式,返回一个文件名。
4、默认情况下,包含的文件需要包含在同一个域名下。
特别值得注意的几点如下:
1.ng-include,如果单纯指定地址,必须要加引号
2.ng-include,加载外部html,script标签中的内容不执行
3.ng-include,加载外部html中含有style标签样式可以识别
了解了该指令的大致用法之后,我们就不得不思考一下,既然这里可以包含html文件,那么也就可以包含之前有过xss漏洞的源文件了。比如构造如下
http://www.localhost.com/xss/level15.php?src=‘level1.php?name=’
因为这里参数值算是一个地址,所以需要添加引号。
LESS-16
查看源代码,因为这里把空格都编码了,也就意味着我们无法通过空格来将字符分隔进行语义的区分,不过我们还可以用回车来将它们分开。而且这里将/符号也编码了,所以我们需要的是一个不需要闭合的标签,比如之前所用过的。可以用回车的url编码格式%0a来表示。当然%0d也可以
?keyword=<img%0asrc=1%0aοnerrοr=“alert(‘xxx’)”>
LESS-17
这一关如此简陋是因为中间有一个flash没法正常显示出来。我们加载一下flash就好了,
本题貌似比想象中的简单,进行一番尝试后发现可以直接在URL利用标签事件
LESS-18
同上
LESS-19-20
经过一番百度之后终于了解到了一种xss攻击手段叫做flash xss。
那么为什么取名为flash xss呢?是因为flash有可以调用js的函数,也就是可以和js进行通信。因此这些函数如果使用不当也是会造成xss的。常见的可触发xss的危险函数有:
getURL、navigateToURL、ExternalInterface.call、htmlText、loadMovie等等。就不先进行其他多余的了解了先,大家哦呀斯密
4221
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
