关注这个靶场的其他相关笔记：XSS - LABS —— 靶场笔记合集

0x01：过关流程

通过 URL 可以看到，name 字段后面的值被回显到了页面上，我们可以通过更改 name 字段对应的值，来操作页面上的内容：

比如，我这里传参：name=Blue17

既然有回显点，那就推测可能存在 XSS 漏洞，这里直接对 name 参数传递一个简单的 XSS Payload 进行测试：

<script>alert(1)</script>

成功过关：

0x02：源码分析

下面的内容是 Level 1 的 PHP 源码，以及我对源码的一些注解：

<!DOCTYPE html><!--STATUS OK-->
<html>

<head>
    <meta http-equiv="content-type" content="text/html;charset=utf-8">
    <script>
        // 修改 alert 的默认行为，当你通过 XSS 漏洞调用 alert 函数的时候，实际执行的会是下面 function() 中的内容
        window.alert = function() {
            confirm("完成的不错！"); // 弹出“鼓励的话”
            window.location.href = "level2.php?keyword=test"; // 跳转到 Level2 并通过 GET 方式向 keyword 传参 test
        }
    </script>
    <title>欢迎来到level1</title>
</head>

<body>
    <h1 align=center>欢迎来到level1</h1>
    <?php
    ini_set("display_errors", 0); // 关闭错误信息的显示
    $str = $_GET["name"];   // 获取 GET 参数中 name 对应的值
    echo "<h2 align=center>欢迎用户" . $str . "</h2>"; // 直接将 name 字段拼接后显示，没做任何过滤 => XSS 漏洞
    ?>
    <center><img src=level1.png></center>
    <?php
    echo "<h3 align=center>payload的长度:" . strlen($str) . "</h3>"; // 输出 name 变量值的长度
    ?>
</body>

</html>

这个是 Level 1 的关卡，没有做过滤，只是简单的将用户输入内容进行拼接回显，导致出现了 XSS 漏洞，通过源码分析，我们知道了为啥我们只有注入 alert() 的时候，才会进入下一关。