xss靶场练习(二)之xss小游戏
前言
话说自从网络安全修正法推出, 不敢轻易动国内的网站, 平时就打打靶场, 本文记录练习之路。
xss小游戏在线地址: http://test.ctf8.com/
xss小游戏一共二十关。
为了方便, 我把项目copy在本地。
为了方便实战效果和理解, 本文采用先通关再展示源码的排版方式。
Leve-1
有一个参数name:
再看看name在html源码中的位置:
可以看到位于h2标签中, 故可以直接注入xss攻击:
http://localhost/xss_games/level1.php
?name=
点击确定自动location到下一关:
- 源码:
欢迎来到level1
欢迎来到level1
欢迎用户".$str."";
?>
Level-2
第二关随便输入一个搜索值:
观察在网页的生成位置:
发现输入的值在input标签中, 我们闭合input标签即可:
http://localhost/xss_games/level2.php
?keyword=hack">
- 源码
欢迎来到level2
欢迎来到level2
没有找到和".htmlspecialchars($str)."相关的结果.".'
';
?>
Level-3
和上一题一样, 随意输入一个值来观察情况:
继续尝试闭合绕过:
http://localhost/xss_games/level3.php
?keyword=what">
&submit=搜索
发现没有闭合出去, 可能是被转义或者编码过,
既然出不去, 那可以在input标签里加属性来xss:
http://localhost/xss_games/level3.php
?keyword=what" onfocus=alert(1)
&submit=搜索
发现还是不对....value值的双引号都没闭合出去。
这里不得其解, 看了下答案, 原来是源码中用了 htmlspecialchars()函数: 过滤一些特殊字符
- htmlspecialchars (string, quotestyle, character-set)
把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 ' (默认是不包括单引号的, 要打开)
< (小于) 成为 <
> (大于) 成为 >
其中, quotestyle参数如下:
| quotestyle | 可选。规定如何编码单引号和双引号。
|
所以我们用双引号闭合时, 双引号会被转义成HTML实体。
由于htmlspecialchars()函数默认状态是只过滤双引号的, "放过"了单引号, 所以可以用单引号来闭合他:
然后发现还多出一个单引号 (至于为什么, 源码部分会解释), 我们用 // 把它注释掉:
http://localhost/xss_games/level3.php
?keyword=hack' onfocus=alert(1)//
&submit=搜索
- 源码
欢迎来到level3
欢迎来到level3
没有找到和".htmlspecialchars($str)."相关的结果."."
";
?>
看关键部分:
可以看到, value的值被单引号闭合起来, 至于双引号, 是通过 . (php的字符串连接符)与处理过后的str连接的, 这样才得以在前端的网页中显示出如下效果:
所以实质上我们用单引号闭合就可以往input里加属性了 (类似sql注入), 最后尾部剩下的单引号记得注释掉。
Level-4
测试一下:
继续尝试绕过闭合:
发现< >被过滤了, 这里可以往input标签里加属性使之弹窗: (这里要处理双引号闭合的问题)
http://localhost/xss_games/level4.php
?keyword=test" onfocus="alert(1)
&submit=搜索
- 源码
欢迎来到level4
欢迎来到level4
","",$str);
$str3=str_replace("<","",$str2);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'
';
?>
可以看到, 对str3参数没有作任何过滤, 故直接注入即可。
Level-5
尝试绕过闭合, 加script标签:
发现script被替换成scr_ipt了:
然后用onerror或者onfocus事件也是被替换了, 估计是对关键字on和script做了替换
http://localhost/xss_games/level5.php
?keyword=hack">xss
&submit=搜索过滤规则只是匹配script, 而javascript刚好可以绕过:
- 源码:
欢迎来到level5
欢迎来到level5
没有找到和".htmlspecialchars($str)."相关的结果.".'
';
?>
可以看到, 服务端将script和on关键字替换了。
Level-6
发现href被过滤了, 而且script和on关键字也是过滤的。
这里我们发现可以用大小写过滤 (可能是服务端没有进行正则式/i的匹配):
http://localhost/xss_games/level6.php
?keyword=hack">
&submit=搜索
- 源码:
欢迎来到level6
欢迎来到level6
没有找到和".htmlspecialchars($str)."相关的结果.".'
';
?>
可以看到, 代码对script、on、src、data、href关键字进行了过滤, 但没有过滤大小写。
Level-7
尝试绕过双引号闭合, 然后注入script标签:
发现script标签被替换为空了,
这里我们可以采用双写绕过:
http://localhost/xss_games/level7.php
?keyword=hack">alert(1)
&submit=搜索 
Level-8
将输入内容添加到友情链接中:
发现被替换了, 并且接下来发现其他的on、src、data、href关键字都被替换了,
双引号也被编码为html实体了:
于是尝试用html实体编码绕过:
发现script标签不能作为url解码后执行:
- JavaScript协议:
javascript:表示执行的是 javascript脚本, 集体执行是什么就是 : 后面的代码。
这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。
格式为, JavaScript:URL
当浏览器装载了这样的URL时,它将执行这个URL中包含的javascript代码,并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同。
所以我们尝试JavaScript协议:
恩, 很棒, script被替换了
继续用html实体编码绕过: (因为JavaScript:URL的URL字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同)
http://localhost/xss_games/level8.php
?keyword=javascript:alert(1)
&submit=添加友情链接
- 源码
欢迎来到level8
欢迎来到level8
';
?>
友情链接';
?>
Level-9
发现这关和上一关差不多, 继续尝试:
发现不管怎么注入都是提示这个, 应该是采用白名单过滤了,
我们按常理出牌:
发现注入http协议的字段可以成功, 那么我们再注入的xss语句中添加http协议就好了!
http://localhost/xss_games/level9.php
?keyword=javascript:alert(1)/* http://xss */
&submit=添加友情链接
- 源码:
欢迎来到level9
欢迎来到level9
';
?>
友情链接';
}
else
{
echo '
友情链接
可以看到, 源码中进行了是否包含http://字段的判断
Level-10
这关可以看到, 我们输入的keyword内容是在h2标题标签中的, 所以即使闭合出来也只是文本而已, 不能被解释执行:
继续观察网页源码, 发现隐藏有参数值:
于是往url加参数:
http://localhost/xss_games/level10.php
?keyword=hack&t_link=1&t_history&t_sort=3
发现只有t_sort被写入了, 所以注入点就是t_sort参数
将value闭合出去 (类似sql闭合), 然后往input标签里加onfocus就行了, 还要记得将type给显示出来:
http://localhost/xss_games/level10.php
?keyword=hack&t_sort=fuck" type="text" onfocus="alert(1)
- 源码:
欢迎来到level10
欢迎来到level10
","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'
';
?>
可以明确看到, 源码的确应用了t_sort参数
Level-11
这关我们继续观察到有隐藏标签:
继续给url加参数, 看看哪个参数被写入:
发现还是t_sort参数, 继续闭合绕过:
看到注入的内容没有闭合出去, 应该是被转义或者实体化了,
这里可以对t_ref参数下手, 尝试抓包, 添加Referer参数:
可以看到, 注入点找到了, 并且发现没有对Referer的内容进行过滤:
- 源码:
欢迎来到level11
欢迎来到level11
","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'
';
?>
源码对t_sort进行了防御, 而没有对t_ref防御。
Level-12
这关换汤不换药, 只不过注入点在User-Agent:
继续抓包修改即可:
- 源码
欢迎来到level12
欢迎来到level12
","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'
';
?>
可以看到, 通过 $_SERVER['HTTP_USER_AGENT']调用了请求头中的User-Agent信息。
Level-13
这关就是cookie的xss注入了:
抓包修改cookie绕过闭合:
- 源码:
欢迎来到level13
欢迎来到level13
","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'
';
?>
Level-14
未修复的关卡。(要)
Level-15
这关比较迷, 没有什么参数传入:
观察网页源码, 发现有一个参数:
但是找不到参数值传入...
(看了源码后, ) 得知传入参数为src:
- ng-include 指令
用于包含外部的 HTML 文件。
包含的内容将作为指定元素的子节点。
ng-include 属性的值可以是一个表达式,返回一个文件名。
默认情况下,包含的文件需要包含在同一个域名下。
- AngularJS中的ng-include:
- 是否是在服务器上运行的。(注意不是服务器上,直接打开HTML文件是不行的)
- 文件路径是否对,如果是同一文件夹中,这样写:(注意其中的“”中间还有个‘’)
- ng-controller="myCtrl"是不是正确,如果没有对应的controller
- 组件
fath.html内容:
son.html内容:
Hello world当然了, 我们可以随意包含任意一关卡的php代码, 绕过利用那一关的弹窗完成这关:
http://localhost/xss_games/level15.php
?src='level1.php?name=![]()
'
(由于FIrefox跳转不了, 我就用Google Chrome来pass了)
- 源码:
欢迎来到level15
欢迎来到第15关,自己想个办法走出去吧!
';
?>
可以看到, 传入了scr参数
Level-16
输入的keyword在center中间:
接着, 尝试的其他关键字都没过滤, 特殊字符也被实体化了, (空格都不放过):
那么这里可以参考之前的blog: SQL注入--空格绕过姿势
http://localhost/xss_games/level16.php
?keyword=
- 源码
欢迎来到level16
欢迎来到level16
".$str5."";
?>
Level-17
由于我的Firefox版本不支持Swf插件, 所以在Google Chrome上演示:
embed可以用来插入各种多媒体,格式可以是 Swf、Midi、Wav、AIFF、AU、MP3等等,Netscape及新版的IE 都支持。src为音频或视频文件及其路径,可以是相对路径或绝对路径。
支持事件属性;
弹窗方式:
当我们注入属性时:
然后我们就可以用onclick事件来弹窗了:
http://localhost/xss_games/level17.php
?arg01=a&arg02=b onfocus=alert(1)
- 源码:
欢迎来到level17
欢迎来到level17
";
?>
成功后,点我进入下一关
Level-18
这关和上一关一样, 用onclick事件:
- 源码:
欢迎来到level18
欢迎来到level18
";
?>
Level-19
这关继续注入事件:
发现需要闭合双引号出去:
很明显没有闭合成功, 可能是被转义或者HTML实体化了
这里涉及到 flash xss, 参看: Flash XSS检测脚本的简单实现
- 源码:
欢迎来到level19
欢迎来到level19
';
?>
Level-20
也是涉及到flash xss
- 源码:
欢迎来到level20
欢迎来到level20
';
?>