XSS过关(一) 1~5关 详细

最新推荐文章于 2024-04-08 12:29:47 发布
最新推荐文章于 2024-04-08 12:29:47 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: xss 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45663905/article/details/105311089
版权

最近在玩xss,就决定把思路写下来,以备忘

第一关

很简单,把test换成<script>alert(1)</script>就行

在这里插入图片描述

<script>alert(1)</script>

第二关

也有些简单,找到注入点,发现input标签里的可用
在这里插入图片描述
于是加上 "/> 以闭合value,再加上<script>alert(1)</script> 过关
在这里插入图片描述

"/> <script>alert(1)</script>

第三关

找到可用的输入点。
首先加 “/> 闭合input标签。再加上<script>alert(1)<script>
然后发现过滤了 “ > “
在这里插入图片描述
于是想到on事件,onclick和onmouseover都可以,这里用onmouseover
但是刚开始一直没有过关,查看攻略后把 " 改成了 ,成功过关,至于啥原理暂时没搞懂
在这里插入图片描述

 'οnmοuseοver=alert(1)'

第四关

用第三关的代码,单引号换回双引号
在这里插入图片描述

" οnmοuseοver=alert(1) '

第五关

不管三七二十一,先用第四关的代码探探路
在这里插入图片描述
发现on事件被过滤了,那就用script试试。果然也被过滤了
在这里插入图片描述
到这里的时候,突然想到第三、四关莫名其妙的 " 的区别。于是鬼使神差的在script前面加上了个 **"**果然没有成功,但是看到文本框外面多了个 alert(1)’> ,这时就想到了超链接
在这里插入图片描述

在这里插入图片描述

"><a href=javascript:alert(1)>123
ihszg
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS闯关非完全攻略 1-10
Dreeee的博客
04-07 834
XSS靶场1-10
XSS-labs1-5
qq_64332865的博客
02-24 442
第一 查看源代码 从这里我们可以看到它将name的参数值,插入到了<h2> </h2>标签之间 那么就很明显,这一主要就是考察反射型xss 但是由于不知道服务器端对于提交的敏感字符有没有过滤,所以这里直接在name参数 中赋值一个简单的弹窗来进行测试。 操作如下: 将name参数重新赋值:<script>alert( 'xss ')</ script> 点击确定,进入第二 首先查看源代码 输入 <script>...
XSS闯关之第五
weixin_34162228的博客
05-15 174
开启第五查看源码,进行分析当我第一眼看到这个代码的时候,就想着用上一的payload,只需要将其大写就可。但是结局往往就是残酷。激动之下忽略了另一个函数strtolower(),此函数,将所有的字母全部转化为小写。所以造成我的大写payload没有什么用。将字母转换为小写后复制给变量str,然后此变量经过str_spelace()函数将其中的<script转换为<sc_ript,将...
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
XSS-labs(1-10)闯关详解
m0_46467017的博客
07-25 2850
通过查看可以知道本与上一的不同,在于转换后的内容不同,虽然添加了大小写转换,但是因为转换后,字符被转换为空字符,所以转换后的字符如何仍可以组合成,那么就可以绕过该防御机制。进入第八后,发现无法构造闭合,采用是采用了htmlspecialchars($str)函数,而且闭合方式是双引号,所以input中无法注入,但是在连接里面是有地方可以注入的。右键查看源代码,发现我们输入的>,.........
xss-labs通攻略教程(level1~level 10)
最新发布
2401_84092483的博客
04-08 999
一个好的心态和一个坚持的心很重要,很多冲着高薪的人想学习前端,但是能学到最后的没有几个,遇到困难就放弃了,这种人到处都是,就是因为有的东西难,所以他的回报才很大,我们评判一个前端开发者是什么水平,就是他解决问题的能力有多强。分享一些简单的前端面试题以及学习路线给大家,狂戳这里即可获取891)]由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)
XSS挑战1-10
kuller_Yan的博客
10-18 318
首先本次做题使用的XSS测试过滤payload为: <img src="avc"><a href="www"><script 'on> 第一题:直接payload <script>alert(1)</script> 第二题:查看源代码发现加了引号,直接绕过。 "><script>alert(1)</script><" 第三题: 源代码: <input name=keyword value='&amp
xss打靶日志(1-5
PISES3_5的博客
06-28 351
xss20题挑战前5
xss challenges 闯关(1-5)
zsynbw的博客
10-28 1131
xss challenges 1-5闯关详细过程
xss challenge accepted靶场 1-5 详细教程
小明师傅博客
06-01 964
来到第一 发现没有输入框,尝试一下改url试一下 发现在url中可以输入 我们直接来个最普通的xss代码,看一下是否可以 <script>alert(1)</script> 发现直接可以了,下一 第二 继续来个普通的,发现不行 我们来查看一下网页源码,按f12或右键查看源码 发现我们输入的script语句在包含中 所以我们要把input闭合掉 输入 1"><script>alert(1)</script> 过关 第三 老规矩.
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
XSS lab 1~14
m0_74047291的博客
11-10 261
xss初学者的作业
xss-labs通记 level1~8
qq_35258210的博客
01-08 840
"""本人网安小白,此贴仅作为记录我个人测试的思路、总结以便后期复习;今后本着少就是多,慢就是快的方式一步一个脚印进行学习,把这个知识点学扎实了,再学另外一个知识点。费曼教授是不是曾经说过以教代学是最好的学习方式?有很多错点可圈可指,所以也请dalao指出不对的地方,所谓教他人的时候也是在稳固自身""" 未做严格排版,后面有时间了再来整理整理 目录 level1 level2 level3 level4 level5 level6 level7 level8 level1 1、寻找插
Xss小游戏通攻略带解释
sirius的博客
08-28 5502
Xss小游戏通攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一。 第一:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
xss challenges闯关 1-10
夜思红尘的博客
04-12 454
xss challenges闯关 1-10
XSS Challenges通教程
qq_48904485的博客
03-22 849
Stage #1 1、输入特殊字符判断位置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cyrE8xMh-1647921893877)(C:\Users\23850\AppData\Roaming\Typora\typora-user-images\image-20211106215932680.png)] 2、构造Payload "</b><script>alert(document.domain);</script> Stage #
XSS-Game 通教程,XSS-Game level1-18,XSS靶场通教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
xss-labs 1-10 通攻略
Alexz__的博客
03-17 1416
http://alexzspace.cn/?p=80
xsschallenge通攻略详解
一个努力学习网安的小牛马
11-12 587
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
XSS闯关攻略:从基础到进阶
这个记录详细描述了一个名为“BUUCTF”的XSS闯关挑战,通过一系列不同级别的卡,展示了如何构建和绕过不同的XSS防护机制。 ### Level 1 - 没有任何过滤 这一是最基础的XSS攻击,没有任何过滤措施。攻击者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值