XSS闯关——第一关:level1

最新推荐文章于 2025-01-30 18:06:12 发布
最新推荐文章于 2025-01-30 18:06:12 发布
阅读量2.3k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: XSS闯关 文章标签: XSS闯关 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiayun1995/article/details/83903663
本文详细介绍了在没有输入框的情况下,如何直接在地址栏中注入JavaScript脚本以通过第一关的技巧。通过设置payload为4并对应参数为test,演示了如何利用URL参数进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一关:level1

 

这里的payload为4,查看地址栏与之对应的传参为test

 

页面没有输入的地方,所以可以直接在地址框注入JavaScript脚本

 

回车过关:

 

 

 

 

xss-level1
Lu__xiao的博客
02-24 4169
首先搭建xss靶场 打开浏览器输入地址来到第一关 这里我先查看了一下源代码 先试一下弹出会话框 name=<script>alert(1);</script> 可以看到直接弹出来了页面
Debian 6 vweb for pentester XSS第一关
学习
09-26 201
首先连接上靶机
XSS闯关第一关
weixin_33958366的博客
05-15 280
开启第一关 这是一个get传值的界面,没有任何文本框之类的东西,所以可以直接在url地址栏中来进行***。在地址栏中输入<script>alert(1)</script>,得到弹框查看一下php的源码文件可以看到,变量str接受到传来的参数没有进行过滤,直接echo出来,所以我们可以构造简单的payload。总结:没有添加任何函数进行过滤,典型的漏洞。可以直接构造任意可弹框...
1.xss之旅—Level1
qwsn
03-13 1637
XSS过程: URL栏: ?name=<script>alert(123)</script> ?name=<script>alert('123')</script> ?name=<script>alert("123")</script> ?name=<script>alert(/123/)</script&g...
XSS-Game Level1
热门推荐
wangyuxiang946的博客
07-07 1万+
xssgame1XSS-Game 第一关没有过滤 , 提交alert(1)弹窗即可
XSS闯关——第四关:level4
老夏家的云
11-09 2603
第四关:level4   输入&lt;script&gt;alert('yes')&lt;/script&gt;测试:       结果如下:     这里发现输入框中的内容与我们输入内容不一样,查看网页源代码: 也是过滤问题,用第三关的方法测试,输入下语句: " oninput="alert('yes')   然后在框中输入数据,闯关成功!  ...
XSS闯关——第七关:level7
老夏家的云
11-09 1843
第七关:level7 输入 ' " &gt; 测试 结果: 可以判断前面是 " 输入 "&gt; &lt;script&gt;alert('yes')&lt;/script&gt; 测试 "&gt; &lt;script&gt;alert('yes')&lt;/script&gt; //这行代码32个字符 没有生效,提示payload长度为20,但是我
XSS闯关——第二关:level2
老夏家的云
11-09 2272
第二关:level2   输入框内字符为test,屏幕上方提示     所以输入的test被全部传入,payload为4 右键查看网页源代码分析 所以这里需要先将value属性闭合,然后使用javascript脚本调出alert函数过关 //输入代码回车 "&gt;&lt;script&gt;alert('yes')&lt;/script&gt;   回车...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.youkuaiyun.com/md?articleId=104496122 欢迎各位小伙伴下载
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
XSS挑战level1
博客
03-08 176
寻找注入点,页面没有用户可输入的地方,查看url 测试参数name=可输入,并将我们输入的内容显示在网页 首先输入</h2>把原有的<h2>标签合上,输入我们的js代码,查看会不会弹窗 使用xss的payload进行通关 ...
XSS闯关游戏
qq_28468749的博客
03-01 471
测试payload查看网页源代码发现:和第五关几乎一样,只不过第一个O成了大写,所以先试用。差异就是script、字母没有被过滤,大小写敏感,尖括号、双引号被编码了。查看网页源代码,比上一关多了一个ref参数,仿写上一关的payload注入网页并无变化。查看网页源码,尖括号、双引号、单引号都被编码了,但是单引号没有被编码,所以考虑。尖括号、双引号都被编码了,从下面href的值也可以看出script会被规避。在hackbar上进行输入值测试,查看网页源代码,是ua的参数值,抓包!是个成功且合法的链接了!
XSS闯关(BUUCTF)
最新发布
2401_88424688的博客
01-30 606
本次题来自于BUUCTF上【第二章 web进阶】XSS闯关一共六道。
xss闯关游戏
weixin_44512852的博客
03-03 2007
** xss tv 题目1-6 ** 1:http://test.xss.tv/level1.php?name=test &amp;amp;amp;amp;amp;amp;lt;svg/alert(1)&amp;amp;amp;amp;amp;amp;gt; 2:http://test.xss.tv/level2.php?keyword=test 闭合掉双引号 on事件:” onclick=alert(1)&amp;amp;amp;amp;amp;amp;gt; “ onmouse
Xss-labs(1第一关到第十一关
m0_46412408的博客
09-25 853
Xss-labs靶场训练第一关:查看页面源代码回显playload长度:插入一段js代码,get传参,一个简单的插入顺利来到第二关,二话不说先直接尝试插入,并没有成功:查看页面源代码:特殊字符被实体转义了我们需要闭合掉双引号即可,构造payload,这一关是闭合绕过来到第三关,随便输入一个闭合弹窗试试,符号也被实体化了:查看php源码。
XSS闯关小游戏
weixin_42728957的博客
12-07 3748
最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 我这里使用本地搭建,方便分析代码,安装好的页面如下: level1 登录页面: 查看代码 <?php ini_set("display_errors", 0); $str = $_GET["name"]; ech
xss漏洞闯关
cortanaji的博客
01-15 868
Xss的定义: XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 对JavaScriptalert()函数的使用,alert--弹出消息对话框,并且alert消息对话框通常用于一些对用户的提示信息。 Level 1 反射性 先找到输入点(test 4) 再找到输出点(t...
BUUCTF XSS闯关1
m0_74167420的博客
04-18 2711
使用'1闭合后面的单引号,当然也可以使用"//"将其注释,最终 username = alert(1);这段代码是一个简单的JavaScript脚本,其中包含一个alert函数调用,用于显示一个弹出框,内容为"xss"。javascript:alert(1),浏览器会把javascript后面的内容当做代码执行,直接在当前页面执行。所以执行:autosubmit=1&action=JavaScript:alert(1);
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值