今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS-labs靶场实战第7-8关。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!
一、第九关
来到第九关,发现页面如下所示:
我们尝试按照之前的做法,查看源码如下所示:
我们猜测在这一关里对我们的输入进行了限制,必须包含一个网页的格式,即输入中必须含有http://。PHP源代码如下所示:
我们从上图中红线部分可以看出,我们的输入中必须含有http://才会将内容放入到href中。(事实上,这一点经过多次尝试也可以得到结论)
那如何构造含有http://的payload中,我们很自然可以想到,我们可以把该内容放入到注释中。于是,我们在第八关Unicode编码后,在编码的最后添加如下内容:
/*http://*/
如下所示:
这样,我们就可以使用该payload成功突破关卡了,如下所示:
二、第十关
来到第十关,发现页面如下所示:
在第十关中,我们查看源码可以知道,有三个隐藏的input函数,如下所示:
经过简单的实验,我们也可以得到结论,我们可以通过GET的方式上传t_sort参数,上传的参数的值会放在value属性中。此外,尽管我们仍旧可以以GET的方式上传keyword参数,但是后台对keyword参数的限制非常严格,我们无法正常通过。而t_sort参数只针对左右尖括号进行了过滤,其他的都没有被过滤。
观察到value属性在type属性之前,为了使得该隐藏的输入框显示出来,我们可以新添加一个type属性,使得该input输入框后面的type="hidden"失效。这样,构造的payload如下所示:
123" οnclick="javascript:alert(1)" type="
该poyload使用后会在页面上显示出该input输入框,点击后即可成功过关,如下所示:
三、第十一关
来到第十一关,发现页面如下所示:
来到第十一关,查看源代码后,发现多了一行name为t_ref的input输入库,如下所示:
我们可以通过观察和简单实验,发现t_sort参数尽管可以采用GET的方式上传,但是过滤非常严格,我们无法突破,但是t_ref的输入框中的value值似乎可以是Referer头的值。(在本例中,我们进入第11关后直接查看源代码发现了这一点,事实上,我们也可以通过t_ref的名称来猜测该参数的来源)
接下来,我们可以使用火狐浏览器,在发送的数据包中插入Referer头,如下所示:
果然,插入referer头后,referer头的信息显示到了input输入框的value属性中,如下所示:
因此,我们可以完全使用第十关的payload,只需要将其放在Referer头中,即可在页面上出现输入框,点击后即可完成本关,如下所示:
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200
扫一扫
639
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
