好建网站,建设工程立项在哪个网站查询,wordpress后台登陆美化,营销型网站和普通网站的区别第八关
还是常规方法#xff0c;先上传我们常用的试试#xff0c;onfocus script a hrefjavascript:alert() 查看源码发现#xff0c;value这里应该是对我们的进行了 处理#xff0c;然后在href这里#xff0c;对常用的关键词进行了替换处理先上传我们常用的试试onfocus script a hrefjavascript:alert() 查看源码发现value这里应该是对我们的进行了 处理然后在href这里对常用的关键词进行了替换处理这里就先考虑我们的大小写试试Scriptalert(2)/Script然后发现进行了小写转换有点难搞这里想到href这里可以进行html编码而非unicode编码因为unicode需要保留我们的伪协议也就是如果我们构造payload为javascript:alert(1)但是unicode需要保留JavaScript而script会被处理成scr_ipt,因此我们使用html编码十进制十六进制都行我这里为了方便使用的十进制构造的payload为#106;#97;#118;#97;#115;#99;#114;#105;#112;#116;#58;#97;#108;#101;#114;#116;#40;#49;#41;然后输出即可。 通过源码我们不难看出常用的都过滤了而且进行了大小写转换。
第九关
还是常规方法先看一下过滤了什么。 scriptalert(2)/script onfocus script a hrefjavascript:alert()
发现过滤了都进行了转换 而且href这里也没有值猜测可能有判断看源码吧 首先进行了一个小写转换然后是一些常用的替换然后再超链接这里存在一个判断就是strpos()函数查找 http:// 在字符串中第一次出现的位置,就是如果我们构造的payload里面没有这个就不能插入到href这里所以这里就想到了注释绕过这样的话我们的字符串里既包含了要求的同时也不会执行这个。
因此构造的payload为#106;#97;#118;#97;#115;#99;#114;#105;#112;#116;#58;#97;#108;#101;#114;#116;#40;#49;#41!-- http:// --;执行 第十关
这里没有文本框然后看到url这里有keyword改一下参数试试 检查源码 这里可以看到原来是有三个input被隐藏了然后我们传参的keyword输出到了h2这里然后看源码吧 这里就会发现原来不止一个参数还有一个t_sort参数没发现应该都测一下的。
然后发现源码这里对都进行了屏蔽参考前面的关卡该使用事件了使用οnfοcusjavascript:alert(1)然后因为这里有type为hidden因此我们需要构造的payload为
?t_sort ofcousjavascript:alert(1) typetext
这样构造之后就可以绕过分析一下闭合第一个双引号闭合了value然后开始我们的事件然后这里考虑到后面的type需要呈现出来而且还有一个双引号没有闭合因此再在结尾加上typetext。这样构造之后就闭合成功了。 第十一关
还是和之前一样需要测一下都有那些参数可以用?keyword1t_sort1
测试下来发现还是和上一关一样有两个参数试一下上一关的payload给双引号也转义了这里我回去又查了一下
htmlspecialchars 函数用于将特殊字符转换为 HTML 实体。其默认行为是将以下字符转换为 HTML 实体
和号转换为 amp;双引号转换为 quot;仅当 ENT_NOQUOTES 标志未设置时单引号转换为 #039;仅当 ENT_QUOTES 标志设置时小于号转换为 lt;大于号转换为 gt;
因此这里会对”都进行转换所以这里使用上一关卡的payload会出现 这里就闭合不了value了看源码吧 这里的”进行转换然后没用进行小写转换后续payload可以考虑大小写进行绕过然后这个t_ref是读取的Refer里面的信息所以我们抓包然后试试 构造的payload为Refer: οnfοcusjavascript:alert(1) typetext
这样就能闭合从而借助事件实现绕过
这里就需要注意 $str11$_SERVER[HTTP_REFERER];这里读取我们的Referer信息而如果是常规的给t_ref赋值是不能看出来的没错我就是。
十二关
还是老样子构造我们的?keywordscriptimg src on href然后查看源码看看 发现和上一关卡一样我们看到t_ua直接猜测。抓包然后该ua代理 有了上一关的经验直接构造payload为 οnfοcusjavascript:alert(1) typetext
这样放包就可以绕过了 然后看源码 果然就是我们猜想的一样然后这里还屏蔽了。 十三关
直接?keywordscriptimg src on href然后右击查看源码 然后看到又有变化了t_cook直接推抓包改Cookie
构造的payload为Cookie: οnfοcusjavascript:alert(2) typetext
然后放包 查看源码 果然和我们猜测的一模一样。
十四关
网站挂了挂个大佬的链接xss-labs靶场-第十四关 iframe和exif xss漏洞 - FreeBuf网络安全行业门户
