xss闯关 - 技术栈

BUU上的[第二章 web进阶]XSS闯关

第一关

第一关很简单，没有任何过滤，直接输入：<script>alert()</script>即可。

第二关

第二关可以输入xss和<script>alert()</script>分别查看页面源代码，看看哪里变了。下面是输入发生变化的代码。

复制代码

if(location.search == ""){//查看url中是否有查询字符串，包括开头的？，如果有，返回字符串，如果没有返回空字符
            location.search = "?username=xss"//将url中的查询字符串命名为?username=xss，且不会再改变。
        }
        var username = 'xss';//输入
        document.getElementById('ccc').innerHTML= "Welcome " + escape(username);//找到ID为 'ccc' 的HTML元素，并将其内部的HTML内容替换为 "Welcome " 加上 username 变量的值（username 的值经过 escape() 函数处理），使用双斜线进行过滤。

输入：?username=xss';alert(1);//

第三关

输入第二关的payload，发现多了一个单引号和斜线，形成了闭合。

输入：?username='';alert(1);//

第四关

进入第四关发现页面在不断的跳转，输入：?jumpUrl=javascript:alert(1)

javascript：会将此后面的语句当作代码执行，所以，输入此后的再次跳转就会执行alert(1)。

第五关

查看页面源代码，发现一段js代码。

复制代码

if(getQueryVariable('autosubmit') !== false){//查看url中是否有autosubmit参数如果有，返回它的值，如果没有，返回false，没有的话执行if语句
    var autoForm = document.getElementById('autoForm');//通过 ID 获取页面中的表单元素，假设表单的 ID 是 autoForm。
    autoForm.action = (getQueryVariable('action') == false) ? location.href : getQueryVariable('action');//如果没有action，执行location.href，有action且action！=false，执行getQueryVariable('action')。将最后的值赋值给autoForm.action。
    autoForm.submit();//提交表单
}else{
    
}
function getQueryVariable(variable){
    var query = window.location.search.substring(1);//获取当前页面的查询字符串（即 URL 中 `?` 后的部分）
    var vars = query.split("&");//按&符号将参数拆解成数组
    for (var i=0;i<vars.length;i++) {
        var pair = vars[i].split("=");//通过=将数据分为参数和值
        if(pair[0] == variable){return pair[1];}//如果参数是查询的参数，返回它的值
    }
    return(false);//返回false
}

综上，我们需要有autosubmit进入if语句，然后利用action参数进行xss注入。

输入：?autosubmit=1&action=JavaScript:alert(1);//

第六关

查看页面源代码，发现一个链接，不过里面是一堆js代码，在下面找到一段js代码：

复制代码

<script type="text/javascript">
    if(location.search == ""){//查询有没有查询的参数，好像也没啥东西。
        location.search = "?username=xss"
    }
</script>

看别的师傅了解到沙箱逃逸，先传参{ {7*9}}，发现被运算。

输入：?username={ {'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

'a'.constructor 返回 String 构造函数。

.prototype 访问 String 的原型对象。

.charAt 是 String 原型上的一个方法，用于获取字符串中指定位置的字符。

=[].join; 将 String.prototype.charAt 方法重写为数组的 join 方法。这意味着当你尝试调用 charAt 方法时，实际上会调用 join 方法。

这样绕过了AngularJS的防御机制，使得后面的代码可以执行。

eval函数接受一个字符串参数，并将其作为AngularJS表达式进行求值。在这里，字符串参数包含恶意代码 x=1} } };alert(1)//'。这段代码试图关闭现有的AngularJS表达式，然后触发一个JavaScript alert弹窗，以实现攻击目的。

最终得到flag：n1book{xss_is_so_interesting}