当黑客就入门 XSS-Lab第六关

最新推荐文章于 2023-02-03 13:28:38 发布
最新推荐文章于 2023-02-03 13:28:38 发布
阅读量276 收藏
点赞数 1
分类专栏: XSS 文章标签: 安全 XSS 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41771371/article/details/96584500
版权

第一步:判断是否存在XSS注入漏洞

在这里插入图片描述
输入的关键词有进行回显,故存在XSS漏洞
**

第二步:尝试利用该漏洞

**
在这里插入图片描述
在这里插入图片描述
尝试对输入的关键词进行大小写

1987" ONinput="alert(1987)

在这里插入图片描述

"> <a Href="javascript:alert('test')">link</a>

在这里插入图片描述总结:此题为对关键词和符号的黑名单形式,可以通过对部分字符进行大小写来绕过

屠野
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Debian 6 vweb for pentester XSS第六
学习
10-01 110
直接查看源代码 <script> var $a= "<?php echo $_GET["name"]; ?>"; </script> 通过 GET 方式传入的 name 变量,直接输出在了script标签里面 可以尝试闭合前面的双引号",然后直接调用alert方法来弹窗,末尾再使用双引号"闭合后面的双引号。 第七 啥反应都没有 查看源码 <script> var $a= '<?ph...
XSSLab学习笔记-第6到10
Mr___Blue的博客
05-02 413
写在前面: 仅供学习使用 第六 照例测试看看有无过滤,可以看出标签没被过滤,只是键字重组了。 最重要的是发现大小写没被过滤,那么闭合input完事。 第七 照例弹窗测试,发现键字被过滤了,大小写也被过滤了,但是标签可以用。看到过滤想到嵌套,试试嵌套。 嵌套发现没问题,那么闭合input完事。 从<script>alert(1)</script>变成<>alert(1)</>,可以看出过滤且清除了script、
xss-labs 6-10
h0ld1rs的博客
07-22 390
xss-labs 6--10第6第7第8第9第10 第6 将上一的答案输进来查看源代码 得到的源代码 r后面多了下划线,得,又ban一个 经过upload-labs和sqli-labs 的训练,可以确定应该会有大小写,双写这样的题,我们先试一下 把他ban掉的r换成大写R "><a hRef='javascript:alert(/xss/)'> 得到结果 第7第六的代码扔进去,查看源代码 结果很明显了,href没了,script也没了,被ban了,开始将他
xss-labs-master 第六到第十
three_year的博客
10-05 647
要想看前面的五请看xss-labs-master 第一到第五 Level 6 进入题目废话不多说,上来就是一个test测试一下会不会变化 可以看到提示信息有输入的内容,昨天我想了一个可以看到JS变化的代码,话不多说直接上(<script Onon>) 通过查看网页源代码,可以知道script、on等键字会在中间加一个下画线,但是大写的键字就不会,所以此题应该就是可以使用大小绕过 绕过语句为"><scRipt>alert(/XSS/)</script>
xss-labs题目解析(1-6)
m0_64603281的博客
11-12 323
xss-labs通参考(1-6)
xss-lab全通教程
05-07
xss-lab全通教程,共有20个,全部就压缩到文件里,另外购买还有可以私信博主,赠送xss环境
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有xss漏洞攻击专项练习,一共有二十,也是小白的看门砖吧!
xss-lab靶场资源包
最新发布
07-27
xss-lab靶场资源包
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
经典的xss注入通游戏,搭建简单。适合网络安全测试人员
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xsslabs.zip
07-23
xss-labs是国内一个大佬开源的xss漏洞靶子,包含一些常见的xss攻击方法,是学习xss的必备工具
HackTheGame 攻略 - 第六
05-31 577
游戏下载地址: https://www.hackerforever.com/guest.php?h=hackthegame 各攻略汇总:http://my.oschina.net/Tsybius2014/blog/685213 第六要完成的任务如下: TITLE : Serious ...
XSS——第六:level6
老夏家的云
11-09 1580
第六:level6 输入' " &gt; 测试input value属性使用的符号 文本框中出现' 说明value使用的是""(双引号) 输入"&gt; &lt;script&gt;alert('yes')&lt;/script&gt;测试 失败 同时发现,我们输入的内容长度为32,但是提示的payload长度为33 查看网页源代码:   试试HTML oninp...
XSS-labs靶场实战(二)——第4-6
永远是少年
11-18 642
今天继续给大家介绍渗透测试相知识,本文主要内容是XSS-labs靶场实战第4-6。 一、第四 二、第五 三、第六
XSS-6注入靶场闯(小游戏)——第六
qq_39330735的博客
02-03 193
XSS注入靶场闯-6第六方法和过程详解
xssgame第六至第八
学习
10-05 2002
第六 先试试a标签 可以看到,a标签这里被转义了 再试试其他标签 onmouseover='alert(1)' 转换大小写,成功过 第七 可以看到,过滤掉了script 于是采取重复嵌套的方式 第八 首先,测试script,发现点击添加友情连接,并无反应 查看源代码,发现总是重复出现下图所示 然后我们试试大小写,发现都是自动转换成小写 这一,可以尝试编码转换。 因为篇幅太长原因,这篇文章就写到这。 ...
ISA TEST黑客小游戏第六解密
baigoocn的专栏
05-08 1103
Continue,第六
XSS-lab靶场(6~10)
bin789456的博客
05-23 402
Level 6 这里我们就省去黑盒测试的步骤了,直接来看看源码吧: <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; $str2=str_replace("<script","<scr_ipt",$str); $str3=str_replace("on","o_n",$str2); $str4=str_replace("src","sr_c",$str3); $str5=str_replace("data","da_
XSS(二)6~10 详细
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
04-05 543
第6 用前面的方法来试,发现href、script、on都被过滤了 这时突然发现第61处“now you’re here”全是小写,2处的“Let’s go”首字母进行了大写。看到这里我就想起了大小写过滤 然后成功过,我也不知道这个是不是隐藏的线索 "><a hRef=javascript:alert(1)>123 第七 啥都试过了,不会 没得法子,只有...
XSS-Lab第十
07-27
XSS-Lab的第十是一个注入漏洞的挑战。根据引用\[2\],XSS-Lab是一个用于学习XSS注入的平台,每一都有不同的XSS注入漏洞。在第十中,与上一不同的是会加入地址的检查。具体来说,该会检查输入的数据中是否包含"http://"字段。因此,为了通过这一,我们需要在输入的字段中加入该字段,例如输入"java&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert('http://')"。这样,当受害者访问该页面时,恶意代码会在其浏览器上执行,从而成功通过第十。 #### 引用[.reference_title] - *1* *2* *3* [XSS攻击-xss-lab(1-10)详细讲解](https://blog.csdn.net/qq_43395215/article/details/105955004)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值