XSS Chanllenges 6-10
Stage #6
测试代码</xss>
存在过滤,并且也没有其他输入点,尝试构建" onmousemove="alert(document.domain),并查看源代码
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214160623111-435796160.png)
当鼠标在Search 上面移动时,弹出弹窗,出现下关入口
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214160704334-335243442.png)
此处用到了JavaScript onmousemove 事件,当鼠标在控件上面移动时触发
Stage #7
测试代码</xss>
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214160953257-217117135.png)
存在过滤,尝试用onmousemove 事件绕过
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161039598-134215411.png)
引号存在过滤,采用空格分隔法绕过,构造1 onmousemove=alert(document.domain);
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161112511-881139806.png)
成功绕过,得到下关入口
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161143032-83905905.png)
Stsチ ちチ ちチ ち
Stage #8
测试代码</xss>
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161315688-1046684295.png)
输出点在一个超链接中,使用js 伪协议,构造代码javascript:alert(document.domain);
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161400273-1195772717.png)
点击超链接触发,得到下关入口
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161447431-1136398283.png)
js 伪协议
1> js 伪协议允许将javascritp 代码添加到客户端,伪协议说明符javascript:URL;,URL主体可以是任意的javascript 代码,由javascript的解释器运行
2> 如果javascript:URL; 中的javascript 代码含有多个语句,必须使用分号将这些语句分隔开。
3> 通常想用javascript:URL; 执行某些不改变当前显示的文档的javascript 代码时,只需要在javascript:URL的结尾使用语句void 0;
Stage #9
利用低版本的IE浏览器对UTF-7编码的支持,绕过过滤
抓包并修改为p1=1%2bACI- onmouseover=%2bACI-alert(document.domain)%2bADsAIg- x=%2bACI-&charset=UTF-7
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161712552-1785618973.png)
得到下关入口
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161744045-864722161.png)
Stage #10
测试代码</xss>
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214161911301-790912137.png)
不存在过滤,尝试直接构造"/><script>alert(document.domain);</script>
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214162951369-166986011.png)
domain 属性被过滤,猜想可能只匹配一次,所以构造嵌套语句"/><script>alert(document.dodomainmain);</script>
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214163026712-432762620.png)
成功绕过过滤,并得到下关入口
![](https://img2018.cnblogs.com/blog/1504127/201812/1504127-20181214163107996-1840371152.png)
❤
❤
左键
本文来自博客园,作者:twsec,转载请注明原文链接:https://www.cnblogs.com/TWX521/p/10119917.html