XSS-labs Level 20 Flash XSS

最新推荐文章于 2024-09-04 18:25:07 发布
最新推荐文章于 2024-09-04 18:25:07 发布
阅读量2.6k 收藏 20
点赞数 18
文章标签: XSS-LABS level 20 FLASH XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/103217680
版权

level 20 Flash XSS

一片空白的flash,上一关的思路的没有了,只有来审计代码了。。。

package
{
   import flash.display.LoaderInfo;
   import flash.display.Sprite;
   import flash.display.StageScaleMode;
   import flash.events.Event;
   import flash.events.MouseEvent;
   import flash.external.ExternalInterface;
   import flash.system.Security;
   import flash.system.System;
   
   public class ZeroClipboard extends Sprite
   {
       
      
      private var button:Sprite;
      
      private var id:String = "";
      
      private var clipText:String = "";
      
      public function ZeroClipboard()
      {
         super();
         stage.scaleMode = StageScaleMode.EXACT_FIT;
         Security.allowDomain("*");
         var flashvars:Object = LoaderInfo(this.root.loaderInfo).parameters;
         id = flashvars.id;
         button = new Sprite();
         button.buttonMode = true;
         button.useHandCursor = true;
         button.graphics.beginFill(13434624);
         button.graphics.drawRect(0,0,Math.floor(flashvars.width),Math.floor(flashvars.height));
         button.alpha = 0;
         addChild(button);
         button.addEventListener(MouseEvent.CLICK,clickHandler);
         button.addEventListener(MouseEvent.MOUSE_OVER,function(param1:Event):*
         {
            ExternalInterface.call("ZeroClipboard.dispatch",id,"mouseOver",null);
         });
         button.addEventListener(MouseEvent.MOUSE_OUT,function(param1:Event):*
         {
            ExternalInterface.call("ZeroClipboard.dispatch",id,"mouseOut",null);
         });
         button.addEventListener(MouseEvent.MOUSE_DOWN,function(param1:Event):*
         {
            ExternalInterface.call("ZeroClipboard.dispatch",id,"mouseDown",null);
         });
         button.addEventListener(MouseEvent.MOUSE_UP,function(param1:Event):*
         {
            ExternalInterface.call("ZeroClipboard.dispatch",id,"mouseUp",null);
         });
         ExternalInterface.addCallback("setHandCursor",setHandCursor);
         ExternalInterface.addCallback("setText",setText);
         ExternalInterface.call("ZeroClipboard.dispatch",id,"load",null);
      }
      
      public function setHandCursor(param1:Boolean) : *
      {
         button.useHandCursor = param1;
      }
      
      private function clickHandler(param1:Event) : void
      {
         System.setClipboard(clipText);
         ExternalInterface.call("ZeroClipboard.dispatch",id,"complete",clipText);
      }
      
      public function setText(param1:*) : *
      {
         clipText = param1;
      }
   }
}

还好不是很长,这个和上一关代码明显不一样,上一关是getlURL,而这一关是ExternalInterface.call
首先通过LoaderInfoURL中取值
在这里插入图片描述
除了上面的id以外还要取两个值widthheight
在这里插入图片描述
接下来构造payload就可以了,arg01=id&arg02=xss\"))}catch(e){alert(/xss/)}//%26width=123%26height=123
首先arg01=id这个就不用解释了,arg02=xss\"))}catch(e){alert(/xss/)}//这个地方有不少要说明的,首先为什么要加",来看看不加的结果
在这里插入图片描述
所以要加一个"进行闭合,让id不等于xss))}catch(e){alert(/xss/)}//,因为等下会直接将id的值全部都传到flash中,flash中仍然也有需闭合的部分,再来看看有\"的结果
在这里插入图片描述
你会发现好像没有什么变化,这因为php做了htmlspecialchar()过滤,至于为什么这样写,那就得看flash的代码了,等会id就会传到下面来
在这里插入图片描述
后面的可以不用管,因为会被我后面的//给注释掉,这里注意,由于是通过LoaderInfo取值的,所以就会变成这个样子

{
"id" = "xss\"))}catch(e){alert(/xss/)}//"
}

可以看到,如果不加\转义id就会变成xss,也就是下面的这个样子,当id再传到里面的函数里面时就起不到报错的作用了。

{
"id" = "xss"))}catch(e){alert(/xss/)}//"
}

接下来有许多函数都使用了idExternalInterface.call(a,b)相当于JS中的函数名(代码)
在这里插入图片描述
我们可以看到上面函数名已经固定了,要是没固定直接改成alert美滋滋,所以我们就从id这里着手,把id的值代进去。
ExternalInterface.call("xxxx","xss\"))}catch(e){alert(/xss/)}//"),这样不太容易看的话,换种方式

      private function clickHandler(param1:Event) : void
      {
         System.setClipboard(clipText);
         ExternalInterface.call("ZeroClipboard.dispatch","xss\"))}catch(e){alert(/xss/)}//","complete",clipText);
      }

把多余的去掉就会变成这样

      private function clickHandler(param1:Event) : void
      {
         ExternalInterface.call("ZeroClipboard.dispatch","xss\"))}catch(e){
         	alert(/xss/)
         	}
         //","complete",clipText);
      }

然后你就会发现这样一搞,由于前面少了一个真正可以闭合的"于是会报错,所以后面抛出异常的catch就可以生效了,于是执行后面的alert(/xss/)
再来说下//后面的%26width=123&26height=123%26其实是&,那为啥非得写%26呢,先来看一个&的。
在这里插入图片描述
你会发现啥都没有,因为php就拿前两个参数,再看%26
在这里插入图片描述
可以了,访问这个地址就搞定了,不得不说我觉得我能耐心把这两题做完,感觉这一年学习真的有进步,哈哈。
在这里插入图片描述
其实通过这个我还搞出来了两个其它的payload也可以过关,大家就自己想吧~

baynk
关注
专栏目录
xss-labs11-20
qq_46527080的博客
12-25 550
第十一关(referer注入) 源码分析 第一行的php的函数,服务器和执行环境信息,他里面给清楚了,就是接受referer信息 第二行替换掉了<>标签,我们就应该清楚要进行时间创造,不能进行标签注入了 第三行是将接受的第一个参数进行了html实体转换 第四行就是接受referer信息信息 我们结合第十关的思想进行注入验证 那结合第10关的思想还真过去了 payload为 "test" onclick="alert(1)" 第二种方法 在bp中抓包 构造referer的payload进行转发 (
xss-labs level 11-20 攻略
borrrrring的博客
02-03 1236
level 11 与上一关相似,老规矩输入恶意代码进行测试,查看源码 有隐藏表单,构造代码更改状态,测试能够利用的参数。 keyword=t_link="type="text&t_history="type="text&t_sort="type="text&t_ref="type="text 页面没有反应,查看源码 可以看到参数t_sort的value可以利用,之所以没有显示出文本框是因为双引号被编码了,无法进行闭合。 我们可以通过抓包改参来进行绕过。 ...
[网络安全]xss-labs level-20 解题详析
等风来
08-14 2328
arg01=id&arg02=\%22))}catch(e){}if(!self.a)self.a=!alert(1)//%26width%26height
xss-labs靶场全关通关
最新发布
m0_64849639的博客
09-04 1108
alert('111')</script><script>
XSS lab_20
qq_45951598的博客
10-20 528
项目地址:https://github.com/myxss/vulstudy/tree/master/XSS-challenge-tour 第一关 这里先传一个1,看一下回显位置 这里可以看到在h2的位置有回显。 所以我们可不可以把h2闭合,在后面执行一条语句呢! 可以看到我们这里已经闭合了h2,12溢出来了 所以这里我们可以用js脚本去执行,这样就完成了 第二关 这里输入一个test 这里发现有两个回显的位置,这里我们先测试下面的回显位置。 这里传入参数test">123,可以看到123
xss-labs-test1-test20
qq_45751902的博客
04-15 1421
简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、 LiveScript、ActiveX、 Flash 或者甚
XSSxss-labs-level15
Hugu
02-24 844
文章目录0x01 XSS-Labs0x02 实验工具0x03 实验环境0x04 实验步骤0x05 实验分析0x06 参考链接 0x01 XSS-Labs   XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的
详细xss labs二十关 新手攻略,内含总结(保姆级教程,看了必会)
qq_40820713的博客
05-11 1515
Xss labs 靶场二十关
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs通关详解 Level 6-10
qq_41755084的博客
10-25 1057
这一关整体上与第五关类似,只是黑名单的量增加了,尝试了href、src等字段,都被替换掉了。不过这个黑名单是大小写敏感的,而在html语句中,大小写不敏感。我们可以使用大小写字段进行绕过。构造注入代码从keyword参数处传入。将href的f大写,变为hreF,绕过黑名单,页面上成功插入了标签。点击该标签,成功弹窗。
xss-labs通关攻略教程(level1~level 10)
2401_84446787的博客
04-27 678
level 2——闭合标签观察页面提示,发现依然为反射型xss,但是与上一关不同之处在于有了搜索框。尝试添加与上一关相同的参数查看源码,发现和被HTML字符实体化为被HTML字符实体化为猜测在服务器端对keyword这个参数使用了函数,但是value参数中的值未被恶意编码,其中输入的payload被赋值给value,可以考虑闭合value的参数值。">//level 3——单引号闭合并添加事件尝试提交一个随便的参数,查看url中是否有提示输入构造的弹窗测试语句。
XSS20关练习源码
09-04
包含20XSS练习的源码。文件都为PHP类型,下载个phpstudy就可以搭建起来了。我已经通过了,所以共享出来给大家练习。
xss-labs.zip
06-25
xss-labs,该环境是用于练习xss跨站脚本攻击的一个集成环境,属于闯关类型。将该环境里的xss类型全部通过,有助于理解xss的攻击原理。
xsslabs.zip
07-23
xss-labs是国内一个大佬开源的xss漏洞靶子,包含一些常见的xss攻击方法,是学习xss的必备工具
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss-labs靶场
qq_49518993的博客
05-21 465
1 反射型xss 由图片分析,可能是输入一个用户名称,然后返回他的长度。 我们可以对name进行xss弹窗 <script>alert('xss')</script> 2 我们直接在搜索框进行xss弹窗发现错误 查看源码 发现<>被转义了 ,根据value输入值,我们可以尝试提前对输入的值进行闭合然后再执行自己的代码 "><script>alert('xss')</script>// 3 日常搜索框弹
XSS-labs靶场通关秘籍(level 17-20)
qq_45741871的博客
09-24 728
xss-labs靶场通关秘籍
XSS-Lab 1-20关 通关笔记
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
07-09 331
XSS-LABs 靶场通关笔记
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值