XSS-labs-master闯关1-10 writeup

最新推荐文章于 2025-04-08 19:18:25 发布
最新推荐文章于 2025-04-08 19:18:25 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: Web安全 CTF 信息安全 文章标签: javascript xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41487522/article/details/106728745
版权
本文详细介绍了XSS-labs-master挑战的前10关,涉及反射型XSS、HTML实体编码、事件处理程序等攻击方式。通过查看源码和分析过滤机制,提出各种payload,包括利用onclick事件、属性注入、大小写和双写绕过等技巧,成功触发XSS弹窗。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS-labs-master 1-10闯关 Writeup

今天来给大家分享一下Xss challenge1-10,XSS在web安全里面也算是一个比较常见的漏洞。喜欢的小伙伴记得点个赞哦!

xss-level1:
第一关没什么好说的,反射型xss,用常规的xss弹框语句即可。
payload:<script>alert(1)</script>
在这里插入图片描述
xss-level2:
查看源码
在这里插入图片描述发现搜索框中的输入的特殊字符会被转换为html实体
这里我们查看前端代码,不能直接数据js语句,要闭合前面的标签。
payload:"><script>alert(123)</script><"
在这里插入图片描述xss-level3:
查看源码:

最低0.47元/天 解锁文章
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
xss-labs-master教程
qq_73792226的博客
09-07 1116
abc
XSS-labs-master闯关11-20 writeup
weixin_41487522的博客
06-15 854
XSS-Challenge闯关11-20 writeup 今天接着上次的1-10,跟大家分享一下XSS-challenge的11-20。喜欢的小伙伴记得点个赞哦! xss-level11: 查看源码: 可以看出和上一一样,隐藏了表单使得前端看不到。这一的突破口在于 $_SERVER['HTTP_REFERER'] 这个代码可以获取http请求头中的referer,所谓referer就是指当前页面是从哪里来的。源码中可以看出,只过滤了尖括号,可以使用javascript伪协议来绕过。 打开burp抓包:
xss-labs(WriteUp)
leekos的博客,分享web安全相关知识~
12-16 1070
xss-labs(writeup)
2025年最新xss-labs靶场搭建以及完美通教程(包教包会)
最新发布
2303_78851087的博客
04-08 1622
2025年最新xss-labs靶场搭建以及完美通教程(包教包会)
xss-labs-master
qq_60905276的博客
12-26 1371
1. 没有限制,直接输入<script>alert(/xss/)</script> 2.
xss-lab靶场通writeup1~6.......在更新)
weixin_45694388的博客
09-04 427
level 2 : 标签被编码,利用属性完成弹窗 输入 发现没有弹窗 查看源代码: 发现: <>符号被编码 说明keybord参数进行了处理,那么只能从属性上进行恶意编码:先将属性的引号和标签闭合,用 // 将后面的 “> 注释掉 显示如下 再次查看源码: level 3 : 标签被编码,使用 on 事件完成弹窗 先用test测试,查看源码 同level 2,使用keyword参数 script标签,查看源码得: 发现标签被编码,这时候可以采用特殊的 on 事件来执
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有xss漏洞攻击专项练习,一共有二十,也是小白的看门砖吧!
网络安全工具汇总
Hacker_xingchen的博客
02-07 714
https://github.com/We5ter/Scanners-Box/tree/master/Find_webshell/(php后门检测,脚本较简单,因此存在误报高和效率低下的问题)以下内容来自:https://github.com/We5ter/Scanners-Box/blob/master/README_CN.md。https://github.com/3xp10it/mytools/blob/master/xcdn.py(获取cdn背后的真实ip)
xss-labs-master靶场速通教学(1-13)
m0_69151365的博客
03-04 1558
这个靶场比较基础,主要就是一些简单的防御规则,我们可以使用大小写、双写、伪协议、编码都能解决。练好这个靶场之后可以去试试xss.haozi.me靶场,见见更多的类型。
xss-labs-master心得
Ays.Ie的博客
11-03 2010
xss-labs-master心得
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
经典的xss注入通游戏,搭建简单。适合网络安全测试人员
xss-labs-master1-9;内含靶场;更好了解xss
xiaochenhang的博客
08-22 567
alert(1)
xss-labs-master 1-13 (附解题过程及思路)
weixin_47306547的博客
09-25 1539
XSS测试代码 <script script '" OOnn> 可测试过滤的内容,如大小写,特殊符号,特殊标n签等 第 1 代码:name=<script>alert(/xss/)</script> 第 2 代码:keyword= "><script>alert(/xss/)</script> 第 3 代码:keyword=' onmouseover='alert(...
(2024最新版)xss-labs-master总结(包含源代码审计和前置思路)
weixin_74074789的博客
11-25 1747
这里我也没明白具体该怎么做,所以这里我直接查看源码,可以看到有一个值是通过 str11 来传递的,然后最终在 t_ref 中起效,但是这里的 t_ref 不是直接通过 GET 获取的,而是通过 http_server 传递的,那么思路就清晰了,直接去把 payload 打入 http_server 的字段中就可以打出 xss。也就是说标签 script 标签被过滤,事件被过滤,那我们可以尝试一下其他标签且没有匹配到事件键字的,好笑的是并没有找到。后续会有其他靶场更新,师傅们可以注一手哦~!
xss-labs-master秘籍
ve9etable的博客
11-02 1377
愉快的旅程即将开始!!!快上车!!! 来和我一起打怪升级吧。哈哈哈哈哈!!! 第一 发现页面没有输入框,但发现可以更改url 它已经告诉我们这一 It's easy,那我们就用最简单的代码试一下 <script>alert(/vegetable/)</script> 那么这一就通过了,果然是 easy 的 第二 先用刚才的代码试一试,发现不行 看一下网页源码,发现是 < 和 " 没有闭合,那么怎么办呢? 答案也很简单,闭.
xss-labs-master题解
m0_52432374的博客
04-02 350
xss-labs-master题解 level 1 由图红线部分可知:这里是将name参数的值直接插入到了<h2></h2>标签之中,故这一主要就是考察反射型XSS。 直接get方式构造url: ?name=<script>alert('xss')</script> level 2 直接试一试 ?name=<script>alert('xss')</script> 发现不可以,查看源代码:看到在<h2></h2&
XSS-labs闯关总结
m0_70976675的博客
11-12 229
xss-lab闯关个人总结及PortSwigger实验室
虚拟机20.4扩容硬盘
03-28
<think>好的,我现在要帮用户解决Ubuntu 20.4虚拟机硬盘扩容的问题。首先,我需要确认用户使用的是哪种虚拟化软件,比如VMware、VirtualBox还是其他的,因为不同工具的扩容步骤可能有所不同。但用户没具体说明,所以我得给出通用的步骤,同时提醒他们根据实际情况调整。 接下来,硬盘扩容一般分为两部分:首先是调整虚拟硬盘的容量,这需要在虚拟机软件里进行操作;然后是扩展分区和文件系统,这部分在虚拟机内部完成。我得确保用户明白这两个步骤都要处理,否则只扩大虚拟硬盘而不调整分区,空间还是用不上。 用户可能对命令行操作不太熟悉,所以每一步都要详细说明。例如,使用lsblk和df -h查看当前磁盘情况,确认需要扩展的分区。如果用户用的是LVM,步骤可能更简单,可以直接用lvextend。但如果是传统分区,可能需要用growpart或fdisk来调整分区大小。 然后,扩展文件系统部分,用户可能分不清resize2fs和xfs_grow的区别,需要根据他们的文件系统类型给出正确的命令。比如,ext4用resize2fs,而XFS用xfs_grow。这里需要提醒用户先确认文件系统类型,避免出错。 另外,数据安全很重要,必须强调在操作前备份重要数据,防止扩容过程中出现意外导致数据丢失。还有,虚拟机需要机后再调整硬盘大小,部分工具可能要求先创建快照,这些注意事项都要提到。 可能会有用户遇到分区后面有未分配空间的问题,这时候可能需要用工具移动分区,但这种情况比较复杂,建议用户谨慎操作或寻求进一步帮助。最后,确保所有命令正确无误,避免拼写错误,并建议用户操作后再次检查磁盘空间是否生效。</think>以下是为Ubuntu 20.04虚拟机扩容硬盘的分步指南: --- ### 一、前期准备 1. **备份重要数据** 所有存储操作都有风险,建议通过虚拟机快照或手动复制文件进行备份 2. **闭虚拟机** 在VMware/VirtualBox/Hyper-V等管理界面中完全闭虚拟机(不能挂起) --- ### 二、调整虚拟硬盘容量 *具体操作根据虚拟化平台不同:* 1. **VMware** 右键虚拟机 → 设置 → 硬盘 → 扩展 → 输入新容量 2. **VirtualBox** ```bash VBoxManage modifyhd <虚拟磁盘路径>.vdi --resize <新容量MB> ``` 3. **Hyper-V** 通过「编辑磁盘」工具调整虚拟硬盘大小 --- ### 三、虚拟机内部操作 1. **查看当前磁盘状态** ```bash lsblk # 查看磁盘分区结构 df -h # 查看文件系统使用情况 ``` 2. **安装扩容工具** ```bash sudo apt update && sudo apt install cloud-guest-utils ``` 3. **扩展分区** ```bash sudo growpart /dev/sda 1 # 扩展sda磁盘的第1个分区(根据实际情况修改) ``` 4. **扩展文件系统** - 对于ext4文件系统: ```bash sudo resize2fs /dev/sda1 ``` - 对于LVM逻辑卷: ```bash sudo lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv sudo resize2fs /dev/ubuntu-vg/ubuntu-lv ``` - 对于XFS文件系统: ```bash sudo xfs_growfs / ``` --- ### 四、验证结果 ```bash df -h # 应显示扩容后的容量 lsblk # 查看分区是否扩展成功 ``` --- ### 常见问题处理 1. **分区后面有未分配空间** 使用`gdisk`或`fdisk`工具创建新分区 2. **LVM扩容失败** 检查物理卷是否扩展: ```bash sudo pvresize /dev/sda2 ``` 3. **GPT分区表警告** 使用`parted`工具修复: ```bash sudo parted /dev/sda (parted) print (parted) Fix ``` --- ### 注意事项 1. 不同虚拟化平台的扩容限制不同,VMware最大支持2TB,VirtualBox支持动态扩展 2. 建议每次扩容不超过原容量的50% 3. 如果使用快照功能,需先合并快照再扩容
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值