godfish44的博客

通俗点来讲，我们在xss-labs靶场中测试的xss漏洞大部分都是get类型，它使用户输入的内容直观的呈现在网页的URL中，或是姓名，年龄等各种用户可视的信息，而post型的xss攻击则不会在URL中显示用户输入的数据，关于这种类型的xss攻击，大家可以在皮卡丘靶场中的跨站脚本模块中找到。我们看到，请求的方式为post，在URL中并没有看到我们刚刚传入的数据，这就是post方式区别于get方式最大不同。

我们并没有发现有隐藏表单的存在，但是我们发现它用<embed>标签引入了一个外部图片，一般来说遇到这种情况，我们通常都是用对应的报错函数来执行攻击代码的，即对应资源加载出错时执行对应动作的函数，这里我想到了之前用过的。我们会发现它传入了两个参数a和b，但是在页面中，我们并没有发现ab的身影，我们猜测会不会像前面几关一样，存在一个隐藏表单？但是令我们失望的是我们的代码并没有被执行，经过查找资料，我们发现。OK，接下来我们来看17关，胜利就在眼前！标签，我们查找后发现了一个更为方便的函数。

我们很容易就发现，程序对空格，/，等符号进行替换，被实体化了，也就是说，我们没法用/ 空格等符号构建payload，大家可能有疑惑，我来解释一下，这段payload没有用到/符号，它通过在页面中添加一个。：该函数在图片加载失败时执行特定的代码，即onerror后面写入的代码。我们尝试后很快发现了问题，我们使用的空格被程序实体化了，咋办呢？%0A在html中会被重新识别为空格。此时我们需要用到一个技巧，空格绕过。我们发现了我们传入的参数test。即将所有空格都替换为。

经过不懈努力，我们成功通过了前面12关，需要注意的是，十三关的技巧与十一关和十二关大同小异，只是将注入的位置改为cookie即可，而第十四关页面中内嵌的网页已经无法访问了，我们直接跳过，接下来我们一起看第十五关。函数可以理解为文件包含的作用，它可以直接引用同一域名下的html页面，通俗点来说，就是在页面中导入另一个页面，它是基于AngularJS框架的。弄清楚了这一点，我们只需要把aaaaa替换为另一个网页的html文件，就可以显示出该网页并利用该网页的漏洞成功执行代码，弹出警告框。

关于这段payload的原理就不过多解释了，大家可以自行参考笔者之前的文章，事不宜迟，我们接着在burp中开始操作：（可参考上一篇文章）我们便成功了，就是这么简单，主要还是考察了对抓包工具的熟练使用和简单payload的构造，加油吧！参数获取了我们的浏览器标识信息，有了上一关的经验，我们可以推测出该关需要我们在请求的。参数上做文章，将我们的payload注入到该参数中从而执行代码。我们用到的payload依然是。

它用来传入我们上一个页面的url，如果我们将其中的url换成我们构造好的payload，我们是不是就可以成功执行代码了呢？如果我们没有上一个界面，也就是第十一关的网页是你打开的第一个页面或者新建的页面，此时抓到的请求头中不含有。该关的难度较大，主要考察了我们对源代码的分析和合理的猜测，以及对burp等抓包工具的熟练使用。我们点击复制按钮，复制这段URL，然后粘贴到浏览器打开，我们会发现我们的代码被成功执行了！，很明显，这个参数是无法利用的，我们查看页面源代码发现依然是有一个隐藏表单的存在，

这一关主要考察了我们的观察力和对xss的综合利用能力，我们要善于从页面源代码中观察和分析来打破僵局，并灵活的利用xss来修改控件的属性来达成我们的目的。我们观察一下页面，并没有发现可以输入内容的控件，所以我们没法从页面中输入我们的payload，但是我们发现网页的URL中有一个。让我们再次转换思路，构造一个不需要<>等符号的语句，不知道大家还记不记得前面文章中提到的。但是很显然我们传入的符号被实体化了，我们很难闭合前后的标签，我们只能重新寻找思路。我们发现在网页中再也找不到可以利用的东西了，

这边提示链接不合法，当时我也没想么多，就单纯的蒙圈了，www.baidu.com这个链接不合法？当我们认识到这一点后，便可以着手构建payload了，但是经过测试，script会被程序替换，但是上一 关我们已经初步具备了编码的知识了，利用html编码来伪装我们的payload不是很难的事。这里的第一个//是javascript语言中的注释符，在//后面的语句将不会被执行，可以理解为是程序本体外的旁白，这样既能保证语句含有http://，也可以保证js代码的标准规范性。成功执行代码，完美通关！

看过前面几篇文章的同学可能直接选择用另外的语句去构造了，但是别急，我们的原则永远是追求最简便，能改原来的payload就尽量不要另辟蹊径。接下来，我们用编码的技巧来克服它，这里我们可以尝试url编码，unicode编码和html编码，经过尝试，只有html编码是成功的。桥豆麻袋，第八关好像跟之前的关卡长得不太一样，不要害怕，我么们一起来分析，他要我们提供一个友情链接，并提供了按钮跳转该链接。经过重重阻碍，我们来到了第八关，这一关中，我们将一起学习xss中的编码绕过技巧来通关！语句用html编码，编码后为。

其实这也是程序的一种黑名单策略，会对黑名单中的关键词进行过滤和删除，难道我们就真的没办法了吗？不，我命由我不由天，我们要做的就是想尽一切办法欺骗程序。是在script中又重新插入了一个script单词，这样程序识别到中间完整的script并将它删除后，我们就又得到了一个完整的script，即。经过第六关的简单修整我们来看第七关，第七关利用了一个很有趣且巧妙的技巧------双写绕过。我们现在提交payload试一下。不出意外的，我们取得了成功！我们发现了一个有趣的现象。不出意外的，我们失败了。

再说一下，关于闭合标签的事情，要多用引号去尝试，很少一次就能成功的，有些情况下引号被闭合时在前端代码中会消失，这是正常现象，一切以开发者工具中显示的前端代码为准，加油！当我们的payload被过滤时，我们可以尝试对其进行编码，这也是很常见的一种方法，常见的编码有html编码，url编码，在线编码的工具有很多，可以自行查找。代码中，我们将原本小写的href替换为了hreF，以此来绕过检测，当然，任意字母大小写都是可以的。恭喜大家闯过了前面的五关，第六关没有什么特殊的地方，就考察了一个大小写混淆的绕过方法。

如果程序会对黑名单中的敏感字符（如script）进行过滤的话，我们构造 <SCriPt>alert(/xss/)</sCRipT>来进行绕过，这只适用于win系统的浏览器中，linux不适用。我们看到关键词onblur被替换掉了，我们尝试大小写混淆绕过，因为win系统中，浏览器对html的大小写没有严格的限制。但是结果还是失败了😥，大小写混淆最后还是被转换成了小写。我们知道，伪协议是一个特殊的协议，它声明了url的主体是任意的javascript代码，并由javascript解释器运行，如。

该关主要考察了在<>号被过滤的情况下熟练使用html事件构造payload，并使用符号对前后语句闭合的技巧。现在我们将构建好的payload再次传入，发现已经可以成功执行代码了！

我们发现，代码并没有成功被执行的原因是标签并没有被成功闭合，因为我们输入的引号（"）和尖括号（）都被被实体化了，我们再输入单引号（'），发现并没有被实体化，遇到这种情况，我们可以采用html的一些事件来规避尖括号等的使用，我们可以采用onblur事件来构造payload。恭喜大家成功来到了靶场的第三关！同样的，我们要注意引号的闭合！到这里我们就成功通过第三关了！

第一关中，页面内并没有直接输入的控件，导致无法通过一般的输入框来进行xss攻击。

我们输入的内容会在页面中显示出来，但是值得注意的是，我们很难通过闭合<h2>标签来将我们的代码独立出来。