XSS Challenges部分题目总结

怎样进行Xss攻击

---

XSS Challenges:http://xss-quiz.int21h.jp/
这是一个日本的孩子写得xss测试关卡，一共19关。

第四关：http://xss-quiz.int21h.jp/stage_4.php?sid=04fb39847db7e3f24b1287a4be7e22b1ba79ec74

Hint: invisible input field
抓包发现有三个参数，通过测试发现前两个都被过滤了关键字符，而第三个没有过滤。

图片.png

图片.png

用第三个参数构造闭合语句
1">

图片.png

第六关：http://xss-quiz.int21h.jp/stage-no6.php?sid=10284e95452262a58b13c86015336f4489b6152e

输入<>/"发现<>被过滤，可以在input中构造onxxx语句。

图片.png

1" onclick="alert(document.domain)

图片.png

第八关：http://xss-quiz.int21h.jp/stage008.php?sid=8407d42ea5cf46b072f5a358abffa591a449a2ba

提示：the 'javascript' scheme.
<>"\都被过滤了，但是可以用JS的伪协议，点击链接弹窗

图片.png

javascript:alert(document.domain)

图片.png

第九关：http://xss-quiz.int21h.jp/stage_09.php?sid=fcf3010be4306306e9668ee51b9d6916c0b3e129

提示：UTF-7 XSS
XSS事项 UTF-7: 消失的字符集
IE6/7 UTF7 XSS 漏洞攻击,这个攻击只对 IE6/IE7 起作用, 从 IE8 起微软已经修复了

"<>都被转义了，当然也不能用onmouseover和onclick，根据提示，用UTF-7编码解码工具，将" onmousemove="alert(document.domain)转为UTF-7编码：
p1=1%2bACI- onmouseover=%2bACI-alert(document.domain)%2bADsAIg- x=%2bACI-&charset=UTF-7
这个对使用的IE浏览器有一定的限制，大部分浏览器都已经修复了这个漏洞，但IE7还没有

第十一关：http://xss-quiz.int21h.jp/stage11th.php?sid=4a4c328baf358d9bf01befc79228e70d25549025

提示：s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;
没有过滤<>"/，
1，script会被替换为xscript　
2，on事件会被替换为onxxx
3，style会被替换为stxxx

图片.png

图片.png

所以只能用a标签，123，可是还是有script，所以要将script中的某个字符转为unicode编码，或者可以插入 不可见字符。
尝试用tab制表(%09)，换行(%0a,%0d,%0a%0d)等符号都不行。
输入">test，显示发现后面的那一段被截断了。

图片.png

%09也就是tab制表符，使用在单个标签之内，会被浏览器正确去除，而在跨标签的时候（也就是闭合前面原有标签，使用在构造者构造的新标签的时候）不会被正确去除。也仅仅是%09，其十进制编码和十六进制编码都不会受影响。后面测试发现%0a和%0d一样受到影响。
参考payload:
">test // tab制表符html十进制编码
">test // 是html5的换行符,:是冒号
HTML的16进制转义符 HTML Punctuation Special Characters

第十二关：http://xss-quiz.int21h.jp/stage_no012.php?sid=66a49c46b3d8e490003681f359c7b8b14ba174c8

提示：s/[\x00-\x20<>"']//g;
<>"被过滤，根据提示可以知道x00-，x20，<，>，"，'都被过滤了，但是`还没被过滤，于是可以用`加上onclick,onmouseover,onfocus均可，还有一个前提是IE，只有IE才有这个特性

图片.png

由于IE的特性，或者说浏览器竞争时代百家争鸣导致的结果，会把`解析为引号。

第十三关：http://xss-quiz.int21h.jp/stage13_0.php?sid=ea59af045ae260dd938d73d6cbbd1c92a6806e06

提示：style attribute6
css中的expression
支持者：IE5至IE7浏览器。expression这个语法只存在ie上。

xss:expr/*XSS*/ession(alert(document.domain));
还有一种：
background-color:#f00;background:url("javascript:alert(document.domain);");

现实环境中不可能有如此简单就能插入的地方
话说，现实中怎么利用
有2种注入：
(1)@import 和 expression

    @import "http://web/xss.css"  
    @import 'javascript:alert("xss")'  
    body{xss:expression(alert('xss'))]  
      

(2)css代码中js，vs脚本

    body{backgroud-image:url(javascript:alert('xss'))}  
    body{backgroud-image:url(vbscript:msgbox('xss'))}  

第十五关：http://xss-quiz.int21h.jp/stage__15.php?sid=1e785fb96bdb203c00b034203ee574681d1b4403

提示：document.write();
输入<>"/发现<>"被过滤了

图片.png

有几种绕过过滤的方法：
第一种：换成16进制编码\x3cscript\x3ealert(document.domain);\x3c/script\x3e
第二种：换成Unicode编码\u003cscript\u003ealert(document.domain);\u003c/script\u003e
第三种：换成十进制编码\74script\76alert(document.domain);\74/script\76
(两个\是因为过滤了单个)
能引起Dom XSS的入口函数总结

    document.write()    
    document.writeln()    
    document.body.innerHtml    
    eval()    
    window.execScript()    
    window.setInterval()    
    window.setTimeout()   

第十七关：http://xss-quiz.int21h.jp/stage-No17.php?sid=a207c91d7b4cb2634e277df104c853554347e8ca

提示：multi-byte character
Multi-Byte Character Set & Use Unicode Character Set
（浏览器版本问题不能成功，IE8已经修复）双引号是0x22，总体思路类似宽字节注入，这个技巧在sql注入中很常用，如%0c可以吃掉一个反斜杠，就是用一个特殊字节吃掉Name中的第二个"，然后Name和E-mail的第一个"就闭合构成了value，然后插入onxxx，最后再吃掉最后一的"。

图片.png

图片.png

抓包payloadp1=1%A7&p2=+onmouseover%3Dalert%28document.domain%29%3B+%A7

第十八关：http://xss-quiz.int21h.jp/stage__No18.php?sid=b23d6719a639f5655a2966a2f5ade6ec86841851

提示：us-ascii high bit issue
这个源自于浏览器瞎解释，他会把一些8位的字符直接解释成7位ascii(漏洞已经在IE8中修补了)

图片.png

就是说浏览器会忽略掉一些8位字符的第一位，如BC和<2进制的后7位相同，浏览器会把他当做BC，并不会过滤。（二进制和16进制可以和字符间相互转换）
参考文献
https://blog.csdn.net/emaste_r/article/details/16988167
https://www.cnblogs.com/sherlock17/p/6700430.html