XSS Challenge（2）

XSS Challenges

http://xss-quiz.int21h.jp/

Stage #13

　　Hint：style attribute；要用到style属性，在style属性中有个expression属性可以来完成，但是只能是IE6以下的浏览器才支持；

　　将浏览器切换到IE5兼容模式，然后输入payload

Stage #14

　　Hint：对url、script、eval、expression做了过滤，将这些单词转换成xxx，我们无法通过大小写、双写绕过，但是可以用注释绕过；

Stage #15

　　Hint：document.write()；

　　查看返回；

　　发现直接返回在<script>标签中，直接输入payload；

　　查看源码发现<、>被编码了，因为返回直接是在script标签中，所以我们可以通过编码绕过，script可以执行编码过的内容，这里我们采用unicode编码；

Stage #16

　　Hint：多了一个过滤，将\x转换成\\x；好像我之前的方法同样适用；

Stage #17

　　Hint：多字节字符以及要用旧版IE，先测试一下返回；

　　两个参数均返回在value属性中，注意闭合引号；

　　发现引号被过滤，<、>也均被过滤，那么考虑直接用onmouseover等属性来代替<、>，根据提示本题存在宽字节漏洞，又因为本题存在两个参数，那么我们将第一个value的后面的引号用宽字节吃掉，后面的value的第一个引号就会变成第一个value第一个引号的闭合引号，我们直接在第二个参数输入payload即可；

　　发现未成功，原理应该是对的，此处可能是IE版本的缘故；

Stage #18

　　Hint：ascii高比特位的问题，去查了一下原来在IE8之前，浏览器会将8位的二进制只取7位来解释！先测试一下返回；

　　返回在value属性中，先试一下正常闭合引号的payload；

　　可以发现引号、<、>均被过滤了，那么我们试着改变其ASCII码的高位；

• <的16进制是3C，二进制是0011 1100，那么将高位的0改成1后变成1011 1100，即BC；
• >同理变成BE；
• “同理变成A2；

　　最后因为IE版本的问题并没有成功；

　　END~