xss-labs靶场1-5关

---

前言

此文章只用于学习和反思巩固xss攻击知识，禁止用于做非法攻击。注意靶场是可以练习的平台，不能随意去尚未授权的网站做渗透测试！！！

---

一、靶场需要知道的前置知识点

• 1、什么是xss攻击？
• 2、xss攻击分为几大类
• 3、xss攻击形成的条件

1、什么是xss攻击？

xss攻击是指攻击者通过插入恶意的xss代码到web页面，当受害者访问插有xss代码的web页面的时候，xss代码会被当作js脚本执行，从而让攻击者达到获取受害者利益的目的。通常xss攻击可以获取cookie，钓鱼、挂马等等。

2、xss攻击分为几大类

• 1、反射型xss
• 2、存储型xss
• 3、dom型xss

1、反射型xss

反射型xss，也是非持久性xss攻击。一般在搜索框、url参数可以见到，攻击者通过注入恶意的脚本代码到如url参数上，然后诱导用户去点击访问，从而盗取用户的重要信息如cookie。因为反射型xss缺点比较多，是一次性的，而且还得利用社会工程学诱导用户点击自己植入xss恶意脚本代码的链接才能生效。

2、存储型xss

存储型xss，也是持久性xss攻击。一般在留言框、登录框可以见到。攻击者会把恶意代码存储到服务器，当用户去访问服务器的时候，服务器会加载已经存储好的恶意代码，从而达到攻击者获取用户信息的目的。

3、dom型xss

不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型XSS。

3、xss攻击形成的条件

• 1、可控参数
• 2、无过滤输入输出
• 3、服务器能解析js脚本带回web页面等等

二、xss-labs关卡1-5

1、关卡1

发现url有参数name，有可控参数且在url展示一般是反射型xss，如果服务器没有对name参数过滤输入输出，就会造成xss攻击。
攻击语句为

<script>alert(1)</script>
1

看源代码也是发现并没有对name参数进行过滤。

2、关卡2

发现也是url有一个keyword参数，然后是可控参数。是反射性xss。

提交上一关的攻击语句发现并没有用，我们F12审查元素，看看前端代码。或者直接看前端代码

<input name="keyword" value="">
1

发现输入的js代码没有被浏览器执行，关键字符被实体化了。这里我们把input进行闭合，构造payload让js弹窗成功执行。

攻击语句为

"><script>alert(1)</script>
1

看页面源代码发现输入的value值在input标签没有被实体化，但是输出在web页面的keyword被实体化了，典型的过滤输出没过滤输入。

3、关卡3

第三关发现url也有可控参数wait，但是发现它无论输入什么值并没有被带回web页面，我们只能在搜索框下手了。但是发现搜索框输入">并没有被web页面执行。我们猜测是被过滤了，发现前端代码也是发现输入输出过滤了<>和双引号

那么就不能用上一关的通过闭合input标签构造js弹窗了。
这里我们用onclick事件

由于输入语句是
我们要进行闭合value。发现单引号没有被闭合
攻击语句为

'οnclick='alert(1)
1

这里攻击语句第二个单引号是为了构造出οnclick=‘alert()’，因为onclick的值要被双引号或者单引号引用。
看源代码也是发现输入输出参数被实体化

4、关卡4

第四关也是发现url有可控参数keyword。这里我们有了经验，先看看可控参数有没有被实体化，我们提交’"<>看看是怎么回事
看前端代码发现输入参数的<>符号不见了，输出参数也被实体化。

那么还是用不了尖括号了，我们这里还是利用onclick事件，由于这里输入的input标签是双引号闭合
攻击语句为

"οnclick="alert(1)
1

看源码也是发现输入参数<>被替换为空，输出参数被实体化。

5、关卡5

发现第五关url也是有可控参数keyword，这里我们试一试提交<>"’
然后看前端代码发现输出参数被实体化，输入参数貌似没有过滤。

因为这次输入参数没有过滤，我们试一试">
发现script被过滤了。被替换成scr_ipt,所以script攻击语句用不了了，我们大小写试一下发现也不行，可能输入参数也被大小写过滤。再试试onclick事件也不行，发现on被替换成o_n。=


==所以之前所有方法都不行，那么这里就要利用标签了

闭合input标签构造攻击语句为

"><a href=javascript:alert(1)>testa>
1

为什么script可以用了呢，因为这里是把script替换为scr_ipt，不是替换javascript。这里是通过a标签，制作一个test超链接。点击test链接就会触发js弹窗。

点击test就行了。看源码也是发现script、on被替换了，输出参数被实体，输入参数被大小写过滤。

总结

xss攻击分为反射型，存储型，dom型。前五关是反射型xss，xss能触发的原因是有可控参数，输入输出没有严格过滤、服务器能解析js脚本带回web页面。可以通过闭合标签构造payload。此文章是小白自己为了巩固xss攻击而写的，大佬路过请多指教！