xss靶场大通关(持续更新ing)
xss秘籍第一式(常弹)
(1)进入自己搭建的靶场,发现有get请求,参数为name,可进行输入,并会将输入的内容显示于网页页面
(2)使用xss的payload进行通关:
http://127.0.0.1/xss/level1.php?name=<script>alert(1)</script>
xss秘籍第二式(构弹)
(1)进入自己搭建的靶场,发现仍然有get请求,并为keyword=test
(2)使用F12或者调用ctrl+shift+i调出网页源代码查看栏,对可输入的地方进行查看,发现输入框是一个value值的输入,然后我们进行js恶意代码拼接
(3)加载payload:如下,一边进行js代码调试,一边进行查看,顺利通关
"/><script>alert(1)</script>//
xss秘籍第三式(绕函弹)
(1)查看页面,仍然是get型请求,会与第二关有什么不同呢?我们查看源代码:
(2)尝试着会value的值进行js恶意代码输入,发现页面并没有弹框,那应该怎么办呢?
"/><img src=# onerror=alert(1)/>//
(3)将payload修改一下,发现并没有什么用,但是,如果将payload修改为:
"/><script>alert(1)</script>//
上述并不可用,大概是后端使用了htmlspecialchars函数进行过滤,因此我们可以使用不带有尖括号的特殊字符进行尝试:
如' onmouseover='javascript:alert(1)
但为什么要这要做呢?,如果换成" onmouseover=" javascript:alert(1) ,却并不会成功
这是因为,<input type='text' value=' ' onmouseover=' javascript:alert(1)'>
只有使用单引号,转换出来的'才有意义
xss秘籍第四式(构绕函弹)
(1)来到第四关卡,发现使用第三关的payload已经不再起作用了,那我们应该怎么办呢?此时思考一下,它的源代码肯定也是如此不仅对<>括号进行了过滤,而且还进行了htmlspecialchars()函数过滤,那我们是否还是可以不输入<>,并且根据input的标签进行js构造.
(2)输入payload如下:
" oninput='alert(1)'
" onmouseover='alert(1)'
这样,我们的第四关就通关成功啦!
xss秘籍第五关 (闭新java弹)
(1)来到第五关卡,仍然和前面的关卡十分相似,这个时候,基于越来越难的道理,我们首先尝试一下输入和第四关一样的payload
(2)发现过滤了on,那我们应该如何避免过滤on呢,尝试使用大小写转换,发现仍然对on进行了过滤
(3)那我们可以试试对这个标签使用编码的方式进行绕过过滤,发现网页似乎无法识别,这个时候不要灰心,我们再把思维放得简单一点,不使用on的点击事件,我们回到最初的最简单的想法,尝试使用一下<>进行操作,似乎并没有进行转义或是过滤。,尝试一下的payload:
" /> <a href="javascript:alert(1)"/>
(4)似乎发现了被单独弥留下来的一个超链接版的xss代码,我们点击进行尝试,很不错,这个链接尽然弹出了xss代码
xss秘籍第六关(大小写)
(1)这次我们直接进入主题
(2)构造payload,绕过对href的过滤,如下所示:变换大小写
"/><a Href='javascript:alert(1)'>a</a>//
xss秘籍第七关(重复写)
(1)这一关是直接做了关键字的过滤操作,我们无法使用href,src等触发xss的恶意js
(2)思考一下,是否可以使用别的不使用这些标签也可以触发xss的payload呢?但是连script标签也被过滤了!!使用大小写仍然无法过滤,那我们是否可以使用重复写标签进行xss攻击呢?构造payload如下所示,发现恶意js成功执行
"/><ScrscriptipT>alert(1)</ScriscriptPT>//<
xss秘籍第八关(DOM)
(1)进入第八关卡,发现这一关非常可能属于Dom型xss,因此我们需要根据友情链接进行恶意js的构造
(2)javascript被过滤了,那试试大小写或者重复写,似乎都是无法弹框的,那我们需要换个思路,将这个a标签闭合,再重新使用新的js标签,但是,经过尝试,我们会发现,这个不仅无法重复写,也无法使用大小写进行绕过。
(3)尝试对javascript这个函数的关键部分进行编码操作,无论是16进制编码还是Unicode编码均可以
xss秘籍第九关(代码审计)
(1)当进入第九关的时候,我们需要开始代码审计了。从图中可以看出这一栏不仅对代码进行了过滤,而且还在里面加了http的暗箱操作,如果没有"http://"这几个字符,就返回链接不合法。
(2)因此可以输入如下payload:r(是Unicode编码,r的化身)%0d(空格的url编码)
javascript:%0dhttp://www.xixi.com%0dalert(1)
xss秘籍第十关(改类型)
(1)进入第十关
<input name="t_sort" value="x&t_sort="type="text" onclick="alert(1)" type="hidden">
居然要get两个参数。这可是盲猜都猜不到的,然后,似乎只过滤了尖括号的样子,因此可以随意构造,type是为了让页面展现出一个输入框,一点击就会弹出alert
我们试试构造别的payload:
发现输入的文本都无法显示,这样就可以猜测出来,这里只能改变一下keyword的类型,type=text
xss秘籍第十一关(改Refere)
从第九关开始,就需要代码审计了,那么,让我们一起来看看第十一关做了哪些代码上的限制吧!
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];//将payload从http头的referer栏获取过来,注意,这就是最重要的,谁也不知道我们需要从referer构造payload
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."
首先,从代码可以发现,过滤了尖括号与使用了htmlspecialchars函数,t_sort的值来自 上一个连接跳转的地址,所以我们直接抓包把referer里绕过,23&t_sort="type="text" onclick="alert(1)
(1)在第十关完成的瞬间,我们使用burp抓取数据包
(2)然后修改referer这一栏的为我们的payload,payload可以与第十关的相同,可以发现顺利进入了第十一关,并且也有弹出一个输入的text格式框
(3)此时只要点击一下那个text输入框,我们就能顺利通关!
xss秘籍第十二关(改User-Agent)
(1)来到第12关,我们发现这个界面似乎与11关无比的雷同。
(2)代码审计,发现与11关唯一不同的就是这次需要输入的payload来源不再是refer了,而是user-agent
(3)我们按照上一次11关的过关实验方法,修改user-agent来试试xss,发现同样的方法也是OK的,即:在11关过关的时候抓包,修改我们的User-Agent头,然后直接在burp里改为如下payload即可:
keyword=123&t_sort="type="text" onclick="alert(1)
xss秘籍第十三关(改cookie)
(1)通过第11、12关的经验,我们已经成功地破解了其中的奥义,就是根据代码从各个地方注入xss语句,现在继续观察一下第13关的代码
(2)可以看到,这段代码中,添加了传说中的cookie,就是我们需要输入的payload需要在cookie内构造。使用和11、12关同样的方法,注入xss语句
(3)放行数据包,顺利通关!
xss秘籍第十四关(略。。。)
(1)在代码审计后,才突然发现14关有点与众不同,它的页面是这样的,而且还一直在加载中
(2)反正都不会弹alert(1),干脆就直接进入15关吧!哈哈哈哈!
xss秘籍第十五关(文件包含)
(1)可以很明显的发现,这一关只有一个src,加载了一张图片,并告诉你:想个办法自己走出去吧!
(2)似乎存在文件包含漏洞,因为这里面php代码echo了一个ng-include的属性,并把图片资源加载了进来!而我们已知的文件包含版xss又在哪里呢?让我们重新回到第一关,在第一关是个特别简单的什么也没有过滤过的xss文件,我们只要将其包含过来就可以通关成功了!我们直接输入如下payload就可以通关成功!
http://127.0.0.1/xss/level15.php?src='level1.php?name=<script>alert(1)</script>'
