qq_49056549的博客

分析源码，发现参数被传入embed标签中，于是可以构造语句。

于是通过语句<img%0asrc=111%0aonerror=alert(1)>通过测试script、/、空格都被进行了转义。%0a是换行符的url编码。

这关有问题，我们需要访问页面中的url，通过修改图片的某些属性进行攻击，但是我们访问不了。这一关涉及 exif xss漏洞，exif是可交换图像文件格式，是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。我们右键图片选择属性，点击详细信息就可以看到exif的相关属性。

通过检查发现四个隐藏的标签，通过赋值观察哪个标签的值发生改变，在第三个标签处进行攻击，没有成功。其user的值为第一张截图中标签t_cook的值，因此，尝试在此处进行攻击。通过burp suite抓包进行分析发现在cookie处。通过在keyword处进行攻击，发现没有成功。通过查看网页源码，发现写入的语句被实体转义。

通过检查发现存在四个隐藏的input标签，并且其中一个标签的值为useragent。那么通过burp suite抓包，修改useragent的值进行攻击。

通过测试发现有四个隐藏标签，利用上一关的方式进行测试，发现t_sort标签可以利用，但是通过输入语句发现，网站对双引号和尖括号有过滤，但是t_ref也有改变，通过对其value分析得到是referer字段，因此，通过burp suite抓包，更改referer进行攻击。

我们发现有三个隐藏的input标签，并且只有h标签修改了，input标签没有改变，因为input是隐藏的，所以不会触发事件，需要通过其它方法触发。发现t_sort的value发生了改变，因此利用此标签进行攻击,首先需要使文本框显示出来，因此构造语句："type="text"// 第一个双引号用来闭合前面value，后面用来把标签隐藏属性改为text属性。（input标签中的type=hidden代表此标签隐藏，隐藏只是在网页页面上面不显示输入框，但是虽然隐藏了，还是具有form传值功能。

/http:// 加//是因为前面的javascript:alert(1)是伪协议，要把后面的http协议进行注释，不然没办法成功运行。与上一关相同的情况，但是当我们输入javascript:alert(1)的Unicode编码之后显示。链接不合法，那么这里应该是对输入的字符串进行了检测，我们在其中加入http:// 后显示。经典一下没啥用，进行分析。

经典一下没啥用，进行分析，发现input标签处的语句被进行了 实体化，而下方的href标签处被进行了过滤替换，通过测试使用其他的方法，未删除关键字，则双写关键字绕过也不可以；大小写绕过也不可以，所以，通过对关键代码进行Unicode编码来进行绕过。

老样子，经典一波，发现没啥用哈哈，但是好像有点和前面的不一样，看一下网页源码啥情况，结果发现。再试试onclick，发现on也被替换为空了，href一样。script没了，似乎被替换为空了，又一种新的过滤哈。

试一下onclick，发现也不行，也有过滤（插入一句，怎么发现代码有没有对两个部分都进行了呢实体化呢，查看源码就行了，一般都是先看看两个部分有没有都被实体化，然后根据具体情况再进行下一步是用新的属性还是新的标签等等，这个东西没有很确定的步骤，自行理解适合自己的方法和思路就可以）试一下大小写混合："><scRipt>alert(1)</sCript>//先经典一波，发现没啥用，然后还发现了和上一关类似的过滤。

结果发现我们输入的script变成了scr_ipt,猜测一下应该是对script有过滤，先不管它，用onclick试一下，发现也有过滤。此时我们用一个新的标签如：<a>,<imag>等，看看是不是都有过滤。果然啊，先对我们输入的字符串进行了小写转化，然后对字符串中的script，on进行了过滤转化。我们再用大小写混合试一下看看它的过滤严不严，结果没啥用。老规矩先经典一波，发现果然没啥用，但是又有点不同。我们去源码看看，验证一下我们的猜想和思路。合着就过滤了这俩啊。

看我看到了啥，这狗贼用了双引号，我们将payload中的单引号换成双引号试试看。好的，我们再用第二关的方法，看看是不是只是实体化了一个部分，发现不是。然后，我们用第三关的方法，发现也没用，凉凉。来到第四关，首先我们经典一下，发现没啥用。别慌，我们先“检查”一下看看啥情况。

XSSlabs通关手册

这样 “> 就会将前面的语句闭合掉，‘//’就会注释掉后面的语句，那我们的js代码不就可以执行了吗？在这里我们看到显示并没有出现什么问题，那是什么原因呢？我们通过右键，然后选择‘检查’看一下什么情况。首先我们按照第一关的方法尝试。结果会发现，会出现以下结果。

level 1