合天网安实验【XSS进阶一、二、三】

直接get，neme=<script>alert(1)</script>

用正则过滤了<script>和</script>，我们name=<Script>alert(1)</Script>

用正则过滤了<script>和</script>（/i表示无视大小写）,但只过滤一次，我们嵌套绕过neme=<sc<script>ript>alert(1)</s</script>cript>，或者不用<script>标签，用name=<img src='' οnerrοr=alert(1)>绕过。

匹配到script就报错，我们用name=<img src='' οnerrοr=alert(1)>绕过。

匹配到alert就报错，我们用neme=<script>confirm(1)</script>或neme=<script>prompt(1)</script>绕过。

取得name，赋值到$_GET["name"]当做字符串在php被输出，首先我们要跳出字符串的双引号，其次我们要跳出echo范围，

所以我们用name=" ；alert(1);"  绕过，两边的双引号匹配原两边的双引号，让中间出来，alert(1)前后分号保证语法正确。

htmlentities函数是将函数里的字符转化为html实体，原本应该无论单引号双引号全部转的，但不知道为什么漏了个单引号没转，那么和第六题一样，我们可以利用单引号让alert(1)逃出来。构造语句name='；alert(1);'

这道题真是跳出思维。首先php里的$_SERVER[]数组是包含了很多网页信息的一个数组，而$_SERVER['PHP_SELF']指当前文件名，如题目当前文件名为example8.php，则$_SERVER['PHP_SELF']=example8.php

我们观察发现，这个数组的工作方式是将url中/XSS/及其之后的语句不做任何过滤地注入到表单form里面提交，演示如下

url中的/没有任何意义但是必须，用之分隔字符否则会报错。我们可以看到，我们可以通过这样在form表单这个元素里面随意添加属性。可以点击按钮执行js代码的属性，马山想到οnclick=alert(1),而form表单也有个οnsubmit=alert(1)也行。

那么我们就构造语句example8.php/"οnclick=alert(1) name="1   ,然后点一下按钮就弹窗了。（这里只是属性，所以不用分号）

document.write(location.hash)返回url中的锚，就是url中#之后的内容。所以我们直接把url#的hacker改成<script>alert(1)</script>就行。