【XSS 系列】独孤九剑第一手式【小草】

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

      开头，先感谢小草表哥提供的XSS 练习靶场和群里师傅们分享的思路，谢谢大哥们，抱腿真舒服，奇奇怪怪的知识真多。

---

目录

0x01 独孤九剑第一手式【小草】

0x02 Eval+JavaScript 编码绕过

0x03 HTML 实体编码+URL编码绕过

---

0x01 独孤九剑第一手式【小草】

      昨夜，看群看到小草表哥做的XSS练习靶场，今天睡醒了后来学习一下一些又多了的奇奇怪怪的姿势，我们首先访问页面，发现有一个师傅已经给出了思路，这题不是讲XSS漏洞的发现，而是XSS漏洞的利用方法，拿扫描器你扫不出啥来的。

题目：

        要求我们加载任意JS代码，且成功加载http://xcao.vip/xss/alert.js

                     

window._alert=alert;
window.alert=function(data){
	_alert("success");
}
alert(1);

 

实体编码转换地址：http://bianma.51240.com/

 

0x02 Eval+JavaScript 编码绕过

解题思路：

1. 通过使用 document.createElement() 方法来创建

   

         当然还有其它的绕过姿势有兴趣的可以一 一尝试DATA协议(IE不支持)、URL编码等等，此题不是让你去弹个XSS，而是去加载js文件，别陷入误区了

    

   ---

   虽然我们生活在阴沟里，但依然有人仰望星空！

   ---