最近在看xss,今天也就来做一下xss-labs通过挑战。这里也是将xss全部打通关了,大家可以看一看,相互借鉴。
XSS-labs通关挑战(xss challenge)
0x00 xss-labs
最近在看xss,今天也就来做一下xss-labs通过挑战。找了好久的源码,终于被我给找到了,因为在GitHub上大家也知道那个下载速度,所以,我也就直接转接到自己的码云上去了,在这也贴出来,欢迎大家下载使用。
源码链接请点击:https://gitee.com/ruoli-s/xss-labs
安装没啥好说的,直接放进自己搭建好的www目录下,就可以开始闯关了,xss-labs一共有level 20,做着看吧。
(其实觉得这些图片才是我真正想做xss challenge的最大原因
)
0x01 Level 1 无过滤机制
看了半天,原来参数在地址栏里放着呢,
修改参数,页面也随之变动,右键查看源代码,发现有跳转到level 2 的JS,而我们传入的参数是几位的,下面就显示payload的长度。
OK,直接走代码:
0x02 Leval 2 闭合标签
我们直接输入level 1 的 payload,发现直接输出了,这里应该是做了实体转义。
F12查看源代码:
第一处就是显示在页面上的代码,第二处是我们输入的代码,这里应该是做了转义,我们构造payload,使用">尝试闭合input标签:
">
0x03 Leval 3 单引号闭合和htmlspecialchar()函数
来到Leval 3,我们还是先使用上两关测试的payload来验证: