渗透测试之---xss-labs闯关【1-14关】

万能检测语句 ’”()Oonnjavascript，通过它我们可以知道过滤了那些东西。
这条语句将给我们本次的闯关之旅带来极大的帮助。

第一关

[POC:<script>alert(/pig/)</script>]

首先看到了有查询字符串，我们心花怒放了。

先万能检测一下

好家伙啥都没有过滤，那就很easy了

第二关

[POC: ”><script>alert(/pig/)</script>]

有输入框，万能检测一下，去看看代码

什么都没有过滤我们只要把value和input标签一闭合就搞定了

输入”>即可

第三关

[POC: ‘type=’button’ onclick=’alert(/pig/)’]

万能检测查看源代码

双引号”被过滤了

可以用单引号’把value闭合，再创建一个事件即可

第四关

[POC: “type=”button” onclick=”alert(/pig/)”]

万能检测查看源代码

跟第三关是相同的套路，闭合value创建事件即可

第五关

[POC: ">:alert(/pig/)">click me </a>]

万能检测查看源代码

On被过滤了说明无法构建时间了且大小写转换也无法使用，可以把value和input标签闭合使用伪协议

第六关

[POC: ">:alert(/pig/)">click me </a>]

万能检测，查看源代码

貌似和上一关的情况相同，我们先试一试上一关的payload

情况好像不对，看看源代码

href被过滤了,这里我们试试大小写转换



成功

第七关

[POC: "><SCRscriptIPT>alert(/pig/)</SCRscriptIPT>]

万能检测查看源代码

可以看到很明显需要使用双写绕过。将value和input闭合

第八关

[POC: javascr
ipt:alert(/pig/)]

万能检测查看源代码

我们输入的value中的值会被放到下面的[友情链接]中，因此突破点在下面的a标签中，而不再上面的input标签中。

把script、on、”给过滤了。由于在a标签中我们首先尝试伪协议，由于会对script尽心过滤，尝试在script中加回车。

第九关

[POC: javascr
ipt:alert('http:///')]

万能检测查看源代码

经过尝试可知我们输入的东西中必须包含http://，在a标签中可以尝试伪协议。要记住alert中的内容是任意的。

键入javascr ipt:alert(‘http:///’)

第十关

[POC:http://192.168.1.107/xsschallenge/level10.php?t_sort=<SCRscriptIPT>'"Oonnjavascript]

这一关没有输入框，我们只能在URL中添加查询字符串进行尝试。先在查询字符串中使用万能检测语句，查看源代码。

由代码可知name=”keyword”的input标签不是突破点，我们试试其他的input标签。


突破点在第三个input标签上

给它把value闭合，创建一个新的type值，再创建一个事件

搞定

第十一关

[POC(Referer下):" type="button" οnclick="alert(/pig/)]

首先看一下源代码

这里会显示referer字段的内容，我们想到用bp抓包修改referer的内容

将抓到的包发送到repeater模块，我们更改Referer的内容为'"()Oonnjavascript看看有什么效果。

我们发现之过滤了尖括号，我们可以用 " 闭合value然后产生事件即可

然后我们回到Proxy模块，更改Referer的内容，然后点击Forward

成功！！！

第十二关

[POC(user-agent下):" type="button" οnclick="alert(/pig/)]

直接看源代码

在第四个标签中看到了user-agent信息，想到用BP抓包修改user-agent信息即可。首先用万能语句看一下它做了那些过滤。

它只过滤了尖括号<>,我们可以闭合value，创建事件。

然后回到Proxy模块，修改user-agent的内容，让他通过。

成功！！！

第十三关

[POC(cookie下):" type="button" οnclick="alert(/pig/)]

直接查看源代码

首先尝试在URL中给这四个name赋值

貌似t_sort可以利用

那我们就在t_sort中尝试万能语句

双引号 ” 被过滤了，我们无法闭合value，因此这道题的key不在这里。我们再观察，发现第四个input标签的name=t_cook，结合之前的几关，我们猜测这可能是cookie信息。我们用BP进行抓包。

果然不出我们所料，这里就是cookie的信息。我们修改它即可。套路和刚才的几关是一样的。




成功！！！！

第十四关

这一关需要可以访问下图中的URL，而我们无法访问，这里说一下思路即可。

这一关涉及 exif xss漏洞，exif是可交换图像文件格式（英语：Exchangeable image file format，官方简称Exif），是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。我们右键图片选择属性，点击详细信息就可以看到exif的相关属性。

我们可以在这些属性里面添加XSS代码，然后上传图片实现弹窗。由于目标URL无法访问我们也无法上传图片。