关注这个靶场的其他相关笔记:XSS - LABS —— 靶场笔记合集
0x01:过关流程
通过 URL 可以看到,name 字段后面的值被回显到了页面上,我们可以通过更改 name 字段对应的值,来操作页面上的内容:
比如,我这里传参:name=Blue17
既然有回显点,那就推测可能存在 XSS 漏洞,这里直接对 name 参数传递一个简单的 XSS Payload 进行测试:
<script>alert(1)</script>
成功过关:
0x02:源码分析
下面的内容是 Level 1 的 PHP 源码,以及我对源码的一些注解:
<!DOCTYPE html><!--STATUS OK-->
<html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
// 修改 alert 的默认行为,当你通过 XSS 漏洞调用 alert 函数的时候,实际执行的会是下面 function() 中的内容
window.alert = function() {
confirm("完成的不错!"); // 弹出“鼓励的话”
window.location.href = "level2.php?keyword=test"; // 跳转到 Level2 并通过 GET 方式向 keyword 传参 test
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php
ini_set("display_errors", 0); // 关闭错误信息的显示
$str = $_GET["name"]; // 获取 GET 参数中 name 对应的值
echo "<h2 align=center>欢迎用户" . $str . "</h2>"; // 直接将 name 字段拼接后显示,没做任何过滤 => XSS 漏洞
?>
<center><img src=level1.png></center>
<?php
echo "<h3 align=center>payload的长度:" . strlen($str) . "</h3>"; // 输出 name 变量值的长度
?>
</body>
</html>
这个是 Level 1 的关卡,没有做过滤,只是简单的将用户输入内容进行拼接回显,导致出现了 XSS 漏洞,通过源码分析,我们知道了为啥我们只有注入 alert() 的时候,才会进入下一关。
