zoukankan      html  css  js  c++  java
  • 合天网安实验【XSS进阶一、二、三】

    直接get,neme=<script>alert(1)</script>

    用正则过滤了<script>和</script>,我们name=<Script>alert(1)</Script>

    用正则过滤了<script>和</script>(/i表示无视大小写),但只过滤一次,我们嵌套绕过neme=<sc<script>ript>alert(1)</s</script>cript>,或者不用<script>标签,用name=<img src='' οnerrοr=alert(1)>绕过。

    匹配到script就报错,我们用name=<img src='' οnerrοr=alert(1)>绕过。

    匹配到alert就报错,我们用neme=<script>confirm(1)</script>或neme=<script>prompt(1)</script>绕过。

    取得name,赋值到$_GET["name"]当做字符串在php被输出,首先我们要跳出字符串的双引号,其次我们要跳出echo范围,

    所以我们用name=" ;alert(1);"  绕过,两边的双引号匹配原两边的双引号,让中间出来,alert(1)前后分号保证语法正确。

    htmlentities函数是将函数里的字符转化为html实体,原本应该无论单引号双引号全部转的,但不知道为什么漏了个单引号没转,那么和第六题一样,我们可以利用单引号让alert(1)逃出来。构造语句name=';alert(1);'

    这道题真是跳出思维。首先php里的$_SERVER[]数组是包含了很多网页信息的一个数组,而$_SERVER['PHP_SELF']指当前文件名,如题目当前文件名为example8.php,则$_SERVER['PHP_SELF']=example8.php

    我们观察发现,这个数组的工作方式是将url中/XSS/及其之后的语句不做任何过滤地注入到表单form里面提交,演示如下

    url中的/没有任何意义但是必须,用之分隔字符否则会报错。我们可以看到,我们可以通过这样在form表单这个元素里面随意添加属性。可以点击按钮执行js代码的属性,马山想到οnclick=alert(1),而form表单也有个οnsubmit=alert(1)也行。

    那么我们就构造语句example8.php/"οnclick=alert(1) name="1   ,然后点一下按钮就弹窗了。(这里只是属性,所以不用分号)

    document.write(location.hash)返回url中的锚,就是url中#之后的内容。所以我们直接把url#的hacker改成<script>alert(1)</script>就行。

    合天智汇:合天网络靶场、网安实战虚拟环境
  • 相关阅读:
    c++ 异常处理(2)
    ajax跨域,这应该是最全的解决方案了
    浏览器Request Header和Response Header的内容
    devDependencies和dependencies的区别
    json对象按时间排序
    JavaScript里的循环方法总结
    json list数据递归生成树状层级JSON
    javaScript年份下拉列表框内容为当前年份及前后50年
    vue cli+axios踩坑记录+拦截器使用,代理跨域proxy
    使用vue2+Axios+Router 之后的总结以及遇到的一些坑
  • 原文地址:https://www.cnblogs.com/hetianlab/p/13847539.html
Copyright © 2011-2022 走看看