前言

做xss做疯了再来一个。

地址:https://xss-quiz.int21h.jp/ ,这个貌似是日本的一个安全研究员yamagata21做的。

做到第九关就跪了,而总共有二十关。一半都还没有,实在是惭愧。第九关考的是utf-7编码绕过实体编码的问题,但是我在最新的chrome和firefox都不能复现。查了好一会资料才发现,utf-7 bom xss是用来bypass ie 7的。

这。。。。

又因为这个挑战后面的关卡,貌似必须得过了前面的关卡才能通关。所以,只好做到这里了,先做个记录,留着以后做吧!

关于这个utf-7 xss实在是没弄明白,还有这个关卡通关问题希望有知道的大佬能够指点指点,谢谢了。

百度了一下,看了一些wp,发现一些大佬们关于utf-7 xss的也是没有复现成功。很好奇他们怎么过的,竟然直接firebug前端弹框解决。

我。。。。(这都没想到,™真的是脑塞了。。。)

Level 1

第一关通常都非常简单,这里也确实是这样。

没有任何过滤,输出点在标签之间,闭合标签,构造新标签搞定。

参考payload:

"</b><svg/onload=alert(document.domain)>

Level 2

输出点在标签属性内,闭合双引号,构造on事件。

参考payload:

" onmouseover=alert(document.domain)>

Level 3

这道题有两个参数,第一个参数是过滤的了,用第二个参数,什么都没过滤。

需要burpsuite抓一下包。

参考payload:

<script>alert(document.domain)</script>

成功弹框

Level 4

这一关有三个参数,一二两个参数都做了过滤,直接看第三个参数。

我的做法是闭合双引号,闭合input标签,构造新标签。

参考payload:

"><svg/onload=alert(document.domain)>%0a  

同样需要抓包

Level 5,6

这一关考回头了,和Level 2的payload是一样的,对了,还有Level 6也是一样的payload直接过。

闭合属性,构造on事件。

参考payload:

" onmouseover=alert(document.domain)%0a  

全程开着burpsuite,根本没感受到输入框的长度限制。

Level 7

空格分割属性,参考payload:

test onmouseover=alert(document.domain)

Level 8

javascript:伪协议在a标签的使用

参考payload:

javascript:alert(document.domain)

Level 9

这一关是利用utf-7编码的,需要环境是IE 7

我用了ie复现也是不能成功,留下个payload吧。

参考payload:

" onmouseover=alert(document.domain)>
+/v8 +ACI- onmouseover=alert(d+AG8AYw-u+AG0-en+AHQALg-d+AG8AbQBh-in)+AD4- 

直接firebug弹框,过!!2333

Level 10

发现过滤了domain关键字,但是只是替换为空而已。

那么可以双写绕过,参考payload:

" onmouseover=alert(document.ddomainomain)>

Level 11  

查看源代码,老是不小心看到提示:

s/script/xscript/ig;

s/on[a-z]+=/onxxx=/ig;

s/style=/stxxx=/ig;  

发现过滤了不少东西,

1,script会被替换为xscript 

2,on事件会被替换为onxxx

3,style会被替换为stxxx

尝试用tab制表(%09),换行(%0a,%0d,%0a%0d)等符号都不行。

明明之前有过几乎一样的题,都是用%09来过的啊?

比如test.xss.tv的第八关。

得到的是这样子的

而这里在我用几乎一样的思路的时候却过不了,如payload:

"><a href=javascri%09pt:alert(1)>test</a>  

得到的却是这样子的

也就是说后面的那一段被截断了。

右键检查发现:

被分割为href和pt:alert(1)两个属性了。

起初我怀疑是get和post两种提交方式造成的。

然后本地搭建对比发现之后,其实是一样的。

后台代码如下:

 <html>

 <head>

 <title>test</title>

 </head>

 <body>

 <?php echo 'Post data: '.@$_POST['p'].'<br>';?>

 <?php echo 'Get data: '.@$_GET['g'].'<br>';?>

 <!--<a href="<?php echo @$_POST['p'];?>">click post</a> -->

 <!-- <a href="<?php echo @$_GET['g'];?>">click get</a> -->

 </body>

 </html>

post和get的payload一样,一同输出

得到的超链接都是"127.0.0.1/javascri"

右键检查发现都是被划分为了两个属性:

换了个payload:

javascri%09pt:alert(1)

然后输出在href里面,如同text.xss.tv第八关的输出点一样。

结果发现两个都被正确解析为了javascript:alert(1)。

经过对比之后,我得出了这样的结论。

%09也就是tab制表符,使用在单个标签之内,会被浏览器`正确`去除,而在跨标签的时候(也就是闭合前面原有标签,使用在构造者构造的新标签的时候)不会被正确去除。也仅仅是%09,其十进制编码和十六进制编码都不会受影响。

后面测试发现%0a和%0d一样受到影响。

在得出了结论之后,我在想为什么会是这样的呢?浏览器解析修正html语法的时候是怎么样修正的呢?

想了很久也查了一些资料,依旧没办法得出结论,也只能暂时先埋个坑在这里了。希望路过的大佬能够解释一下,谢谢!

那么这道题应该怎么过呢?

参考payload:

"><a href=javascri&#09pt:alert(document.domain)>test</a> //&#09 tab制表符html十进制编码
"><a href=javascri&NewLine;pt&colon;alert(document.domain)>test</a> //&NewLine;是html5的换行符,&colon;是冒号

成功弹框

Level 12 (https://xss-quiz.int21h.jp/stage_no012.php?sid=ecc5555af7eed1253bcca9131be080488c7ba675)

查看提示:

"s/[\x00-\x20\<\>\"\']//g;  

把\x00-\x20的字符与及<,>,",'都替换为空。

想着还有什么能够替换空格呢?用&NewLine;的话还是会没办法跳处value属性。

看了一下sherlock17 大佬的wp,发现了竟然还有一个符号,学到东西了。但是得在IE下才可以。

`  

由于IE的特性,或者说浏览器竞争时代百家争鸣导致的结果,会把`解析为引号。

那么我们的payload可以是

``onmouseover=alert(1)  

在IE下成功弹框

Level 13

这一关提示说是style attribute,也就是style的属性问题。

想着闭合双引号试试?结果发现被过滤了,那么就只能是style的payload了。

在wooyun上和owasp上找到了一些payload

如:

xss:expr/*XSS*/ession(alert(document.domain));

但在firefox下无法弹框,后来查了写资料发现。

expression这个语法只存在ie上。

于是用ie测试了一下payload,成功弹框,但是陷入了死循环弹框中。(请谨慎使用)

Level 14

还是考的style的东西,但这次增加了过滤。

s/(url|script|eval|expression)/xxx/ig; 

把url,script,eval,expression关键字都替换为了xxx。

解法就是寻找黑名单之外的关键字,但是我们发现其实我们可以直接用上面的那个payload:

xss:expr/*XSS*/ession(alert(document.domain));

Level 15

这一关考的是dom xss

由于在documnet.wirte中,这里是属于js范畴,所以可以用js编码

我们用十六进制编码一下下面的payload

<svg/onload=alert(document.domain)>
\x3csvg\x2fonload=alert(document.domain)\x3e  

因为是在js范畴,document.write在输出的时候会JavascriptDecode一下数据,会把数据原有\去除,即php里面的stripslashes

所以我们最终的payload应该是这样的。

\\x3csvg\\x2fonload=alert(document.domain)\\x3e

成功弹框:

Level 16

提示说

"document.write();" and "s/\\x/\\\\x/ig;  

把\\x 替换成了\\\\x,但是js编码又不止16进制,还有八进制,unicode编码

用unicode编码

\\u003cimg src=x onerror=alert(document.domain)\\u003e

用八进制编码,同样可以

\\74img src=x onerror=alert(document.domain)\\76

Level 17,Level 18

https://xss-quiz.int21h.jp/stage-No17.php?sid=0c8ab14016a836126b35d4ed081076aa3ded3aff

看了一下别人的wp,这两关都是考的字符集的问题,且复现有浏览器要求需要在IE 6上复现。暂时不做研究,毕竟夜深了,但日后再研究!

总结:

通过这次的xss闯关,总算有点入门的感觉了。xss的世界真的是复杂而又美妙!

XSS Challenges闯关笔记的更多相关文章

  1. 某xss挑战赛闯关笔记

    0x0 前言 在sec-news发现先知上师傅monika发了一个xss挑战赛的闯关wp([巨人肩膀上的矮子]XSS挑战之旅---游戏通关攻略(更新至18关)https://xianzhi.aliyu ...

  2. XSS Challenges(1-12关)

    XSS Challenges解析: 1. 什么过滤也没有,而且是直接输出.<scrip>alert(document.domain);</script>即可通过 2. 直接输入 ...

  3. W3CSchool闯关笔记(Bootstrap)

    该闯关内容与JS闯关衔接. 每一题的答案均在注释处, 第一关:把所有的HTML内容放在一个包含有container-fluid的class名称的div下(注意,是所有的HTML内容,style标签属于 ...

  4. W3CSchool实战闯关笔记(JavaScript)

    //handsome /** *ugly **/ 第一关注释 // 举例 var myName; // Define myName below this line 第二关声明变量 // Setup v ...

  5. W3CSchool闯关笔记(JQuery)

    <script> $(document).ready(function(){ }); </script> <!-- Only change code above this ...

  6. The Python Challenge 闯关笔记

    The Python Challenge : http://www.pythonchallenge.com/ Level 0: 看提示图片中为2**38,计算值为274877906944. Hint: ...

  7. W3CSchool闯关笔记(中级脚本算法)

    坚持下去,编程是一门艺术,与君共勉!!! function sumAll(arr) { var result = 0; var sn = Math.min(arr[0] , arr[1]); var ...

  8. W3CSchool闯关笔记(初级脚本算法)

    W3C后台校验代码bug很多,有的时候跑不过不一定是自己代码写得有问题,也许是网页后台的bug,可以自己把代码放到本地的html文件中跑一下看看 function reverseString(str) ...

  9. XSS闯关游戏准备阶段及XSS构造方法

    请下载好XSS闯关文件后,解压后放在服务器的对应文件夹即可 在该闯关中,会在网页提示一个payload数值 payload,翻译过来是有效载荷 通常在传输数据时,为了使数据传输更可靠,要把原始数据分批 ...

随机推荐

  1. C++windows内核编程笔记day09_day10,对话框和窗体基本控件等的使用

    //设置字体颜色 SetTextColor(hdc,RGB(255,0,0)); //窗体背景 //wce.hbrBackground=(HBRUSH)(COLOR_WINDOW+1); //wce. ...

  2. python 创建列表和向列表添加元素方法

    今天的学习内容是python中的列表的相关内容. 一.创建列表 1.创建一个普通列表 >>> tabulation1 = ['大圣','天蓬','卷帘'] >>> ...

  3. Winform开发框架中工作流模块之审批会签操作

    在前面介绍了框架中工作流的几个开发过程,本篇随笔重点介绍一下日常审批环节中的具体处理过程,从开始创建表单,以及各个审批.会签过程的流转过程,希望大家对其中流程的处理有一个大概的印象. 1.请假申请表单 ...

  4. 盘点selenium phantomJS使用的坑

    参考:http://www.jianshu.com/p/9d408e21dc3a   http://www.cnblogs.com/luxiaojun/p/6144748.html 豆瓣应该是ip被封 ...

  5. Intellij IDEA更新SVN没有提示语

    更新SVN时IDE下方没有提示语句 解决方法: 点击编辑器右下方的 Event Log 按钮 打开 Show balloons 就可以显示了.

  6. python文件操作及os模块常用命令

    1.文件打开 文件句柄 = open('文件路径', '模式') 2.文件操作 打开文件时,需要指定文件路径和以何等方式打开文件,打开后,即可获取该文件句柄,日后通过此文件句柄对该文件操作. 三种基本 ...

  7. [.Net跨平台]部署DTCMS到Jexus遇到的问题及解决思路--验证码

    上一篇博客我们已经基本完成了部署工作,目前发现了验证码出现500错误,分析其代码,我们可以看到验证码使用的是System.Drawing命名空间下的类库, GDI+ 位图,这个在肯定是平台相关的,所以 ...

  8. django2.0+linux服务器 ,如何让自己电脑访问

    这几天一直在搞这个服务器端口开放问题,来让自己电脑可以访问服务器下的django网页,今天终于弄好了~~~~~离成功又进了一步~~~~~ 1.首先,我们来开放一个linux服务器的端口(我开放了828 ...

  9. java并发编程的艺术——第五章总结(Lock锁与队列同步器)

    Lock锁 锁是用来控制多个线程访问共享资源的方式. 一般来说一个锁可以防止多个线程同时访问共享资源(但有些锁可以允许多个线程访问共享资源,如读写锁). 在Lock接口出现前,java使用synchr ...

  10. Python学习日记:day4

    列表 li=['alex',[1,2,3] ,'wusir','egon','女神','taibai']#列表 l1 = li[0] print(l1)#alex l2 = li[1] print ( ...