XSS Challenges

http://xss-quiz.int21h.jp/

Stage #1

XSS Challenge(1)-LMLPHP

注入alert(document.domain),先试一试输入后会返回什么;

XSS Challenge(1)-LMLPHP

返回在标签中,直接尝试输入payload;

XSS Challenge(1)-LMLPHP

Stage #2

XSS Challenge(1)-LMLPHP

测试一下返回;

XSS Challenge(1)-LMLPHP

可以发现,test返回在value属性里,注意闭合value属性的双引号即可;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #3

XSS Challenge(1)-LMLPHP

测试一下返回情况;

XSS Challenge(1)-LMLPHP

通过观察源码我们可以发现一共POST了两个参数,p1和p2,通过测试发现p1被过滤了,于是用burp修改p2的值;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #4

XSS Challenge(1)-LMLPHP

先测试一下返回;

XSS Challenge(1)-LMLPHP

发现有个隐藏的参数p3,尝试注入payload;

XSS Challenge(1)-LMLPHP

发现p3的值返回在value属性中,重新POST p3的参数,注意闭合双引号即可;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #5

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

查看源码发现对输入的长度做了限制;

直接用burp传递参数即可;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #6

XSS Challenge(1)-LMLPHP

先测试一下返回情况;

XSS Challenge(1)-LMLPHP

发现返回在value属性中,注意闭合;

XSS Challenge(1)-LMLPHP

发现未成功,查看源码,发现<、>被编码了,于是我们就无法闭合标签了,那么input标签里是否有什么可以利用的属性呢?

XSS Challenge(1)-LMLPHP

这些都是form中的属性,我们这里选onselect尝试注入;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

注入成功,当我们选中表单的时候,就会触发payload;

XSS Challenge(1)-LMLPHP

Stage #7

XSS Challenge(1)-LMLPHP

测试返回;

XSS Challenge(1)-LMLPHP

发现返回在value属性中,尝试注入;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

发现引号被过滤了,但是本身的value属性不带引号,那么我们不用引号即可;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #8

XSS Challenge(1)-LMLPHP

测试一下返回;

XSS Challenge(1)-LMLPHP

发现返回了一个<a href></a>的标签,直接尝试注入payload;

XSS Challenge(1)-LMLPHP

点击链接;

XSS Challenge(1)-LMLPHP

Stage #9

XSS Challenge(1)-LMLPHP

测试返回;

XSS Challenge(1)-LMLPHP

可以注意到有两个参数,其中一个是p1,返回值在value里,经过测试引号、<、>等均被过滤,另一个参数charset,值为euc-jp,可以看出是一种日本的编码,这道题应该和编码相关;

自己想了很久没有头绪,去看看本题提示;

XSS Challenge(1)-LMLPHP

原来是要用UTF-7编码;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #10

XSS Challenge(1)-LMLPHP

Hint:提示的意思应该是正则把domain过滤了;

那可以尝试双写绕过,先测试返回在何处;

XSS Challenge(1)-LMLPHP

返回在value里,注意闭合双引号;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #11

XSS Challenge(1)-LMLPHP

Hint:过滤了script,on开头的和style;

经测试结果返回在value属性中;

XSS Challenge(1)-LMLPHP

由于过滤规则是将带on的词变成onxxx,所以双写没法绕过;

在script当中加tab绕过;

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

Stage #12

XSS Challenge(1)-LMLPHP

Hint:x00、x20、<、>、”、’等均被过滤;

因为返回值在value中,所以必须要先闭合引号才有用,然而现在双引号和单引号均被过滤,经过我花了很长时间的搜索,发现`在IE中可以充当引号的作用!

XSS Challenge(1)-LMLPHP

XSS Challenge(1)-LMLPHP

(未完待续~)

05-21 20:05