roger 发表于 2021-3-25 11:27:08

XSSchallenge(1-13题)

                                                               黑盒:xss挑战解题
[*]第1题
[*]第2题
[*]第3题
[*]第4题
[*]第5题
[*]第6题
[*]第7题
[*]第8题
[*]第9题
[*]第10题
[*]第11题
[*]第12题
[*]第13题
第1题  我这里使用的是本地xsschallenge,你也可以玩在线版的,地址
1: 打开xsschallenge,发现长这样

2: 点击一下图片,来到了第一题
3: 把test替换为
<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>
  来进一步检查到底有哪些东西会被替换

会发现文本没有被过滤,那就直接上xss
4:再次修改test的内容为
<script>alert(/xss/)</script>
  然后就通过第一关了
点击“确定”进入第2关

补充:一个作弊的方式,如何一口气通关所有关卡
在控制台输入javascript:alert(/xss/)
第2题  首先看到第二题长这个样子

1:先来万能模板试一把,把URL里的test替换为如下内容
URL里的内容
http://10.3.139.51/xsschallenge/level2.php?keyword=test
  被替换的test的内容
<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>
  可以观察到传进去的内容没有被过滤,只是变成了value的值,那么手动修改payload,让value闭合就行了

2:构造payload
"><script>alert(/xss/)</script>
  通关

第3题  来一个<script " 'Oonn>

“检查元素”发现内容点奇怪,查看页面源代码

发现左右尖括号被编码了,但是单引号没有被转码!
输入以下内容'onmouseover='alert(/xss/)
第一个单引号是闭合前面的单号,第二个单引号是为了闭合后面的单引号,构造出事件驱动,此时“查看页面源代码”

当你把鼠标放在搜索框中时,会出现弹窗

第4题  来一个<script " 'Oonn>
接着查看页面源代码

发现跟第3题没啥区别,把单引号换成双引号就OK
输入以下内容"onmouseover="alert(/xss/)
查看页面源代码

当你把鼠标放在搜索框时,nice

第5题  来一个<script " 'Oonn>
接着查看页面源代码

下面来改造一下测试代码<script script " 'Oonn>
发现跟上一步的结果差不多,仍然是大写变小写,关键字中间过滤(过滤一次),没有过滤单双引号

重新构造一下payload,使用伪协议的方式来构造xss
"><a href = "javascript:alert:alert(/xss/)">click me</a>
  页面变成了这个样子

查看一下页面源代码

鼠标点击“click me”按钮,成功

第6题
来一个<script " 'Oonn>
接着查看页面源代码

发现没有做大小写过滤,没有过滤单双引号,只过滤了关键字
尝试第5题中的伪协议"><a href = "javascript:alert:alert(/xss/)">click me</a>
  发现“click me”按钮不是一个链接

查看页面源代码,发现href被过滤了

记得前面没有过滤大小写,修改一下payload
"><a hREf = "javascript:alert:alert(/xss/)">click me</a>
  发现“click me”变成超链接了,有戏

鼠标点击一下,成功了

同样还是可以通过大小写策略,使用事件驱动方式触发xss
"Onmouseover="alert(/xss/)

综上,根据只要绕过大小写的策略,你可以写出如下payload
1. "> <Script>alert(/xss/)</script>
2. "> <img Src=666 OnError=alert(/xss/)>
3. "><a hREf = "javascript:alert:alert(/xss/)">click me</a>
4. "Onmouseover="alert(/xss/)
……
第7题
来一个<script " 'OOnn>
接着查看页面源代码

发现:
1:script被过滤了,on还剩一个,猜测只做一次关键字过滤
2:单双引号没有被过滤
那么复写关键字两次就行了,so easy
代码可以抄上一题的,复写两次就行,举个例子"Oonnmouseover="alert(/xss/)
第8题
来一个<script " 'Oonn>
接着查看页面源代码

首先考虑伪协议尝试绕过javascript:alert(/xss/)
  当鼠标放在“友情链接”上时,发现左下角的URL不对劲

问题不大,对标签页属性进行16进制ASCII编码,再次尝试绕过
java&#x73;cript:alert(/xss/)
  当鼠标放在“友情链接”上时,左下角显示正常

成功过关

第9题
既然仍然是友情链接,先尝试上一题的答案java&#x73;cript:alert(/xss/)
  结果被提示链接不合法

那我就先写一个正确的链接
左下角果然提示正常

猜测一下,把payload里面的弹窗改为百度
java&#x73;cript:alert('http://baidu.com')
  左下角貌似正常

顺利通过

第10题
把URL栏里面的keyword替换为<script " 'Oonn>

接着查看页面源代码:

发现,除了我们输进去的代码被二次编码了以外,页面中还有三个隐藏的元素,并且隐藏的元素的值为空。那么首先考虑能不能搞一下这三个元素,方式是通过手动传参。于是URL栏里的地址尝试下面的三个10.3.139.102/xsschallenge/level10.php?t_link=1
10.3.139.102/xsschallenge/level10.php?t_history=1
10.3.139.102/xsschallenge/level10.php?t_sort=1
  最终发现,只有第三个URL能够赋值,接着再次把第三条URL修改
10.3.139.102/xsschallenge/level10.php?t_sort=<script " 'Oonn>
  查看页面源代码,如下

有戏,接下来就是填字游戏了
【如果直接复制下面代码执行失败,请尝试手动写入】
10.3.139.102/xsschallenge/level10.php?t_sort=click me!" type="button" οnclick="alert(/xss/)
  再来看一下页面源代码,不错,高度和谐

点一下“click me”按钮,顺利过关

第11题
把URL栏里面的keyword替换为<script " 'Oonn>
接着查看一下页面源代码,发现跟第10题相似,那就先按照第10题的思路试试

那么隐藏元素走一波10.3.139.102/xsschallenge/level11.php?t_link=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_history=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_sort=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_ref=<script " 'Oonn>
  发现第三条有结果

那么再玩一次填字游戏,尝试第3题的思路
10.3.139.102/xsschallenge/level11.php?t_sort="οnmοuseοver='alert(/xss/)'"
  查看页面源代码,又凉了

那么再回过头来搞搞"t_ref"字段,其实查一下文件源代码发现那四行隐藏元素的内容是这样写的:
<input name="t_link"value="'.'" type="hidden">
<input name="t_history"value="'.'" type="hidden">
<input name="t_sort"value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"value="'.$str33.'" type="hidden">
  所以可以放弃第三行了,使用Hackbar搞一下第四行

查看页面源代码,有戏,跟第10题的套路一样了,那么可以直接拿第10题的答案来套

修改一下Referer字段,然后就过关了。


第12题
先来查看一下页面源代码

看到第20行写有浏览器的指纹,啥也别说了,先搞第20行
  首先按F12召唤“查看元素”,然后刷新页面,就会看到网络数据,当你用鼠标选中第一条数据时,右边会显示出详细通信内容,点击一下“重发”按钮,就能重新编辑数据包了

把指纹部分改成测试代码<script " 'Oonn>

发送完数据之后,来查看一下页面源代码,发现还是那个样,显示的还是指纹信息

那就接着使用“查看元素“吧,有戏。

使用上一题的答案click me!" type="button"https://img-blog.csdnimg.cn/2020080716325411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDI4ODYwNA==,size_16,color_FFFFFF,t_70" border="0">
看起来是成功了,但是为什么页面没有按钮呢???

再来看看”检查元素”,payload设置正常

看一下“预览”,点击按钮无果

  此路不行,另觅他法,不就是改包嘛!!!

走BurpSuite代理,BurpSuite开启截断,然后“Forward“,顺利出现按钮,点一下,过关

第13题
首先查看一下页面源代码

猜测,第20行应该是cookie,应该是从它下手,根据上一题的惨痛教训,这次直接使用BurpSuite。劫持会话更改cookie


页: [1]
查看完整版本: XSSchallenge(1-13题)