XSS_Labs靶场通关

2021 年 10 月 26 日
筆記
网络安全, 靶场学习, 靶场练习

XSS-labs靶场（1-20）

开始通关！

0x01 （直接漏洞注入）

反射型xss注入

1、遇到?name=text，尝试参数注入

注入语句：

<script>alert(‘xss’)</script>

0x02（闭合符号）

从url入手开始看，依然是get方式传递参数，应该还是反射型xss

闭合” “> 使用”> ….//

概念(知识点)补充

<script>alert(‘xss’)</script>

其中<和>都被编码成了html字符实体

1、猜测在服务器端用htmlspecialchars()函数对keyword参数的值进行了处理

2、但是问题是这里的js代码在标签属性值中，浏览器是无法执行的

htmlspecialchars()编码 “<” “>”

<代表小于号(<)

>代表大于符号(>)

≤表示小于或等于符号(<=)

≥表示大于或等于符号(>=)

思路：

既然上面的恶意代码被编码了，那么只能从属性值中的恶意代码处进行突破
要想浏览器执行这里的弹窗代码，只需要 将属性的引号和标签先闭合 就可以

漏洞代码：

“><script>alert(‘xss’)</script>//

1、左边的”>去闭合原先的”

2、右边的//去注释原先的”>

查看源码后

0x03（使用不带有<>的事件代码，例如：onfocus、onmouseover）

首先使用<script>alert(“xss”)</script> 进行测试

这里可以通过<input>标签的一些特殊事件来执行js代码

特殊事件：onfocus

onfocus 事件在对象获得焦点时发生。

onfocus 通常用于 <input>, <select>, 和<a>

最简单的实例就是网页上的一个输入框,

当使用鼠标点击该输入框时输入框被选中可以输入内容的时候就是该输入框获得焦点的时候,

此时输入框就会触发onfocus事件.因此点击当前页面的输入框就可以完成弹框了。

1、通过onfocus去绕过< >被编码的情况

2、’onfocus=javascript:alert(‘xss’) >

构造代码：level3.php?keyword=’onfocus=javascript:alert(‘xss’) > //&submit=搜索

0x04

首先使用<script>alert(“xss”)</script> 进行测试

箭头1处直接将<和>编码转换了

箭头2处却是把<和>删除了

但是，事件触发却不需要使用这两个符号。

用上一关的代码：level4.php?keyword=”onmouseover=”alert(/xss/)

0x05（<a>标签绕过）

1、首先使用<script>alert(“xss”)</script> 进行测试

2、使用”onfocus=javascript:alert(“xss”)”>

观察：

1、<script>标签会被替换成<scr_ipt>

2、onfocus事件会被替换成on_focus

0x06（<a>标签的大小写绕过）

首先使用<script>alert(“xss”)</script> 进行测试

0x07（双写关键字绕过）

1、首先使用<script>alert(“xss”)</script> =>中的<script>被过滤掉

2、使用onfocus=javascript:alert(“xss”) =>中的onfocus被过滤成focus

3、使用”><a href=javascript:alert(“xss”)>xss</a>// =>中的href被过滤掉