前言

写这篇博文起源来自于一次网络安全实验课，在实验虚拟环境里有一个xss挑战，估计是搬别人的xss挑战进来，我觉得挺有意思，就记录一下。有些关卡不能再虚拟环境实践，我在自己物理机上找到那个xss挑战平台进行实现。

level1

未进行过滤，直接输入payload

payload:

level2

发现对html特殊符号进行了实体编码，

payload:" οnclick=alert(/xss/)><"

当然需要点击一下触发

level3

编码了双引号，但是源码里用的单引号，用单引号构造即可

payload:'οnclick=alert(/xss/)><'

level4

过滤了<>符号，我们只能用事件绕过，这里利用浏览器的容错特性，不闭合直接注释也能执行

payload:" οnclick=alert(/xss/)//

level5

有两处输出的地方，第一处对特殊符号进行了实体编码，第二处将on开头的事件全部替换加下斜杠，也将

payload:">xss

点击xss

level6

这里紧接就过滤了href标签，但是却没有做小写处理，可以用大写绕过匹配

payload:">xss

或者：">

level7

做了小写处理，将script和href,src,on等字符串替换为空字符

猜测只替换了一次，我们可以用双写绕过

payload:

">alert(/xss/)

">xss

">

" oonnclick=alert(/xss/)>

level8

做了小写处理，将script和href,src,on等字符串加上下斜杠，使其无法正常解析,还将双引号实体编码，是我们不能闭合双引号

这里是一个a标签，用href构造一个链接

想到可以调用外部js，但事实并没那么简单，因为完成目标需要在本页面弹窗，才会显示输出，并跳转到下一关

因为这里是先添加一个链接，再打开这个链接，会打开另一个界面，就不在本界面弹窗，所以外部调用不可行

只能用伪协议javascript:alert(/xss/),但script会被替换

那我们只有尝试编码绕过了

用实体编码可绕过

payload:

十进制实体编码：javascript:alert(/xss/)

十六进制实体编码：javascript:alert(/xss/)

都是将t字符进行实体编码，当然对其他字符进行编码也可以，目的在于绕过服务端的匹配。客户端解析时又会将其转码为t，从而弹窗

level9

href里直接显示链接不合法，测试发现输入中必须包含http

那我们用注释符绕过即可，构造payload

payload:javascript:alert(/xss/)//http://192.168.1.3

或者javascript:alert(/xss/)//http://192.168.1.3

level10

这里发现输出的地方进行了html实体编码，一时间没找到突破口

查看源码才发现，t_sort变量的键值也是可定义的，过滤了<>符号，没有编码双引号，这里告诉我们要多测试一些变量

paylaod：

" type="text" οnclick=alert(/xss/)" #因为页面中没有触发事件框，所以type="text"构造一个文本框

level11

查看源码发现多了一个键值t_ref，内容一看，不是上一题的url吗？猜测这是获取的http头里的referer字段

伪造referer字段即可

这里由于实战环境在虚拟环境内，且无网，没有burpsuite工具，不方便操作

只给出payload

referer: " type="text" οnclick=alert(/xss/)"

level12

查看源码多了键值t_ua，应该是浏览器的User-Agent

同样用burpsuite伪造UA发包即可

paylaod：

User-Agent: " type="text" οnclick=alert(/xss/)"

level13

查看源码多了键值t_cook，应该是cookie

同样用burpsuite伪造cookie发包即可

payload:

Cookie: " type="text" οnclick=alert(/xss/)"

level14

查看源码发现exif,猜测应该是exif xss,但是这个链接由于网络的原因无法访问，所以，也无法实践

exif xss，一般利用于文件上传的地方，最经典的就是头像上传，上传一个图片，该图片的exif元数据被修改为xss payload,成功利用弹窗

具体实现使用kali下的exiftool工具

命令如下：

exiftool -FIELD=XSS FILE

exiftool -Artist=’ “>’ brute.jpeg

level15

什么？让我自己走出去。这里看来只能在url里面操作

发现src参数，查看源码发现把参数拼接到了最后一行输出，那这里应该是突破口了

这里估计使用ng-include，这个属性可以包含文件，默认是同域名的文件

那我们包含level1.php加上参数即可

payload:level15.php?src='level1.php?name='

因为这里要访问上面的angular.min.js这个js文件，才能进行包含，虚拟环境里面无法访问那个js，因为需要fanqiang才能访问，根本没法实现，所以我找了外网的一样的xss挑战进行测试

成功包含level1弹窗

level16

这一关过滤了空格，还有script字符串，也替换成空格，编码为

这里我们可以使用换行符%0a(换行)或者%0d(回车)绕过

paylaod:

或者

level17

查看源码，发现swf文件

百度了一下，以为是flash xss,但是始终利用不成功，结果好像不需要这样利用

直接把arg02赋值为

οnclick=alert(1) #注意最前面有一个空格

查看源码发现自动补全了引号，我也不懂为啥

level18

与上一关一样的payload

level19

这一关没有自动添加双引号，自己写入的双引号也被编码。无法闭合，好像只有根据flash xss来构造payload，

level20

与上一关相似，待考究

总结

xss绕过方法

大小写绕过

双写绕过

alert(1)

替换绕过

过滤 alert 用prompt，confirm，top['alert'](1)代替绕过

过滤() 用``代替绕过

过滤空格 用%0a(换行符),%0d(回车符)，/**/代替绕过

小写转大写情况下 字符ſ大写后为S(ſ不等于s)

%00截断绕过

xss

编码绕过

实体编码

javascript:alert(1) 十六进制

javascript:alert(1) 十进制

unicode编码

javascripu0074:alert(1)

url编码

javascrip%74:alert(1)

fromCharCode方法绕过

String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59)

eval(FromCharCode(97,108,101,114,116,40,39,120,115,115,39,41))

javascript伪协议绕过

无法闭合双引号的情况下，就无法使用onclick等事件，只能伪协议绕过，或者调用外部js

换行绕过正则匹配

onmousedown

=alert(1)

注释符

// 单行注释

注释多行内容

注释多行内容

注释多行内容

--> 单行注释后面内容

/* */ 多行注释

有时还可以利用浏览器的容错性，不需要注释

闭合标签空格绕过

@符号绕过url限制

例如：https://www.segmentfault.com@xss.haozi.me/j.js

其实访问的是@后面的内容

")逃逸函数后接分号

例：");alert(1)//

绕过转义限制

例：

")

alert(1) //

xss paylaod形式

xss

xss

alert(1)">