XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」: 此文章已录入专栏 靶场通关教程

XSS-Game

  • XSS-Game level1
  • XSS-Game level2
  • XSS-Game level3
  • XSS-Game level4
  • XSS-Game level5
  • XSS-Game level6
  • XSS-Game level7
  • XSS-Game level8
  • XSS-Game level9
  • XSS-Game level10
  • XSS-Game level11
  • XSS-Game level12
  • XSS-Game level13
  • XSS-Game level16
  • XSS-Game level17
  • XSS-Game level18

XSS-Game level1

1)第一步:寻找输入和输出点

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第1张图片

2)第二步:分析输出点代码

提交基础符号 <>" ,查看页面源代码,发现没有被过滤,那就简单了,直接弹窗。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第2张图片

3)第三步:弹窗测试

地址栏输入payload:,回车即可弹窗,自动进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第3张图片

4)从源码可以看到,第一关没有任何过滤。

​​​​​​​​在这里插入图片描述


XSS-Game level2

1)第一步:寻找输入和输出点

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第4张图片

2)第二步:分析输出点代码

提交基础符号 <>",查看网页源代码,发现没有被过滤,但内容被拼接到了value属性里面,需要用双引号闭合。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第5张图片

3)第三步:弹窗测试

地址栏输入payload:" onclick="alert(2),点击输入框触发弹窗,自动进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第6张图片

4)除了闭合双引号,也可以闭合标签,payload:">

5)从源码可以看到,第二关没有过滤,获取内容后直接拼接到value属性中:

在这里插入图片描述

虽然使用 htmlspecialchars() 转义了HTML标签 , 但输出到输入框时,并没有转译,所以不会此关卡造成影响

在这里插入图片描述


XSS-Game level3

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第7张图片

1)第三关过滤了><"&

结果被拼接到value属性中,并使用 htmlspecialchars() 函数将参数内容转译成 HTML实体,默认把 ><"&转换成 ><"&,但源码中没有加 ENT_QUOTES 参数,导致这里并不能过滤单引号,可以使用单引号闭合绕过。

2)地址栏输入payload:'onclick='alert(3),点击输入框触发点击事件即可弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第8张图片
换成 onmouseover 等其他事件也可以。


XSS-Game level4

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第9张图片

1)第四关过滤了 ><,可以使用 " 闭合绕过。

源码中可以看到,结果被拼接到value属性中,并使用 str_replace() 函数将 >< 替换成空字符串。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第10张图片
2)地址栏输入payload:"onclick="alert(4),点击输入框触发点击事件即可弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第11张图片

XSS-Game level5

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第12张图片

1)第五关过滤了大小写、on,可以使用其他标签配合伪协议闭合绕过。

源码中可以看到,结果被拼接到了value属性中,使用 strtolower() 函数把值变成小写,使用 str_replace() 函数把 on 替换成了 o_n

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第13张图片

2)在地址栏输入payload:">aaa ,点击a标签触发弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第14张图片


XSS-Game level6

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第15张图片

1)第六关过滤了onsrchrefdata 这几个关键字,可以使用大小写绕过。

源码中可以看到,结果被拼接到了value属性中,使用str_replace() 函数替换了很多关键字,但在替换之前并没有匹配大小写。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第16张图片

2)地址栏输入payload:"> ,回车后直接弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第17张图片


XSS-Game level7

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第18张图片

1)第七关过滤了大小写以及 scriptonsrchrefdata 这几个关键字,可以使用双写绕过。

源码中可以看到,结果被拼接到了value属性中,使用 strtolower() 函数限制了大小写,使用 str_replace() 函数替换了很多关键字。但只替换了一遍,可以考虑双写。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第19张图片
2)地址栏输入payload:">alert(7),回车后立刻弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第20张图片

XSS-Game level8

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第21张图片
1)第八关过滤了大小写以及 scriptonsrcdatahref" ,可以使用html编码绕过。

先看源码,这一关有些不一样,之前结果都是拼接到输入框中,但这关却拼接到了a标签的href属性里面,可以考虑伪协议加编码。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第22张图片

2)输入框中输入payload:javascript:alert(8),点击添加友情链接后,点击友情链接触发弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第23张图片
提示:#115; 是字母s经过html编码后的形式,编码后的内容可以绕过后端的过滤,但拼接到前端后,就会被浏览器解码,重新变回字母。


XSS-Game level9

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第24张图片

1)第九关过滤了大小写以及 scriptonsrcdatahref" ,并且提交的内容必须包含 http://,可以使用编码配合注释绕过。

源码中,先判断是不是包含 http://,必须包含才能进入下一步。

在这里插入图片描述
然后是过滤大小写和一些关键字:

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第25张图片
过滤还是比较严,可以用伪协议加上html编码绕过,加上 http:// 的话会使代码无效,可以用注释把它过滤掉。

2)输入框中输入payload:javascript:alert(9) //http://,点击添加友情链接后,点击友情链接触发弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第26张图片
提示:// 是html的注释。


XSS-Game level10

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第27张图片
1)第十关比较离谱

明面上的输入点和输出点只是个幌子,这一关的参数不是 ?keyword

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第28张图片

查看网页源码可以发现另外三个参数,尝试过后发现只有第三个可以用(大家就不要尝试了,很无聊)。

在这里插入图片描述
从源码中也可以看到,参数 t_sort 被接收后,过滤了 >< ,然后就拼接到value属性里了。
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第29张图片

由于这个输入框时隐藏的,我们提交参数的时候要加上一个属性,让它显示出来,方便我们点击。

2)地址栏输入payload:?t_sort=" onclick=alert(10) type="text,点击页面上新出现的输入框,触发弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第30张图片

XSS-Game level11

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第31张图片

1)第十一关也是隐藏的输入框,需要的参数是 HTTP_REFERER,也就是请求头Referer

过滤情况以及payload和第十关一样,但这里需要通过请求头提交参数。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第32张图片
2)使用代理( Burp Suite ) 拦截请求 , 修改 Referer ,同样是点击新出现的输入框触发弹窗,进入下一关。

在这里插入图片描述


XSS-Game level12

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第33张图片

1)第十二关还是隐藏的输入框,但这次需要通过 User-Agent 请求头提交参数,过滤情况和payload和十、十一关一样。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第34张图片

2)使用代理( Burp Suite ) 拦截请求 , 修改 UA请求头,然后点输入框弹窗,进入下一关。

在这里插入图片描述


XSS-Game level13

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第35张图片

1)十三关和十、十一、十二关一样,但请求位置换成了 cookie。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第36张图片
2)使用代理( Burp Suite ) 拦截请求 ,修改Cookie,弹窗,下一关。

在这里插入图片描述

十四、十五关:略

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第37张图片
地址栏把圈中的14改成16,跳到下一关。


XSS-Game level16

1)到第十六关终于正常了,过滤了大小写以及 script/空格 这几个关键字,可以使用img标签代替script标签,用 %0d%0a 编码代替空格。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第38张图片

2)地址栏输入payload:,回车后直接弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第39张图片


XSS-Game level17

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第40张图片

1)第十七关过滤了 ><"& 这几个关键字,可以直接拼接事件绕过。

从源码中可以看到,后台将获取的参数用 htmlspecialchars() 函数转换成HTML实体后,直接拼接到了src属性中。

在这里插入图片描述
后台获取参数的时候,并没有判断非空,所以我们只提交 arg02 这一个参数也可以。

src属性的值没有用引号包裹,我们可以直接用空格拼接一个事件,用来触发弹窗。

2)地址栏输入payload:?arg02=b onmouseover=alert(17),鼠标移动到插件的位置,即可触发弹窗,进入下一关。

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第41张图片

XSS-Game level18

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第42张图片

1)十八关和十七关一样,payload:?arg02=b onmouseover=alert(18)

XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_第43张图片


你可能感兴趣的:(靶场通关教程,xss,前端,网络安全)