目录

1.less-11(Referer传参)

2.less-12(user agent 传参)

3.less-13 (cookie传参)

 4.less14(iframe)

5.less15 (HTML外部文件包含)

5.1 ng-include

 6.less-16(编码绕过过滤)

7.less-17(参数注入)

payload:

8.less-18

---

XSS原理

xss/level16.php?keyword=“ ‘ <> script onerror  onclick

1.less-11(Referer传参)

 "被编码了，浏览器无法正常闭合，尝试抓包

 分析数据包可知没有Refered字段，加上

 进Response字段，找到flag

referer:"type="text" onclick="alert('flag')

再forward一下，pass

2.less-12(user agent 传参)

 查看源码，有ua，用hacker bar 传参

 

 

3.less-13 (cookie传参)

特点：

• 存在隐藏参数
• 向cookie中插入参数
• 反射性

 没有传进去，猜测是被编码过滤了，用BP抓包试试

 并没有把cookie值传到页面

 我们什么都不传看看BP数据包

明白了，要有user字段，改cookie值

 OR

user=" οnclick=alert('flag') type="botton""

 4.less14(iframe)

本地连接不上，pass

5.less15 (HTML外部文件包含)

 二个可疑点:

1. src的远程代码执行
2. ng-include属性

3. 

   没有什么可疑的

 

 我之前也没有接触过，现学AngularJS ng-include 指令 | 菜鸟教程

5.1 ng-include

在hackbar输入src="jinyouxin",查看源码有数据,"被编码了

• 遵循SOP，只好调用第一关代码。
• 需要单引号包裹，否则变成注释

paload：

/level15.php?src='level1.php?name=test<img src=1 onerror=alert(1)>'

 好家伙被过滤掉了，查了半天的资料，才明白要用到加成，先把less-1配置成功，src='level1.php'

http://localhost/xss/level15.php?src='http://xss/level1.php?name=<img src=asd onerror=alert(1)>'

 6.less-16(编码绕过过滤)

 关键字script，空格(%0a)被过滤了，再看看源码

 

keyword=

keyword=

keyword=

7.less-17(参数注入)

 输入点在url中，过滤了尖括号和双引号，用on事件触发

payload:

/level17.php?arg01=a&arg02= οnmοuseοver=alert(1)

level17.php?arg01=a&arg02=b 8888 οnmοuseοver=alert(1)

8.less-18

同17