当前位置：首页 > news >正文

xss靶场详解

news 文章来源：https://blog.csdn.net/m0_72654572/article/details/141286381 2024/9/20 20:31:41

1.第一题

2.第二题

3.第三题

4.第四题

5.第五题

6.第六题

7.第七题

8.第八题

1.第一题

在源码script标签里边，innerhtml是用于访问或修改 HTML 元素内的 HTML 内容的，这里是访问spaghet这个元素的，并通过括号里面的东西搜索当前页面有没有somebody这个参数，有的话使用get传参的方式给somebody传一个值，然后+Toucha Ma Spaghet!，如果没有传值，默认传Somebody+Toucha Ma Spaghet!,然后赋值给spaghet,放在h2标签中，显示出来。

因为他利用innerHTML直接更新somebody参数，所以我们可以利用

?somebody=<svg%20οnlοad=alert(1337)>在svg加载完成以后执行我们的xss代码

2.第二题

在这里面我们get传入jeff的值给jeff,然后ma是空，eval执行ma=ma name 传的值，然后settimeout延时1秒把ma赋值给manme.

因为这次使用的是innertext，他会把我们的标签整个识别成一个字符串输出就不能用一开始的

我们可以把eval进行闭合

?jeff=aaa";alert(1337);"

带入就会是这样，前后引号都闭合了，eval就执行alert

`ma = "Ma name aaa";alert(1337);"" `

3.第三题

replace是用来移除wey 中的所有 < 和 > 字符。

/[<>]/g 是一个正则表达式，匹配 < 或 > 字符。
g 是一个全局标志，表示将会在整个字符串中查找所有匹配的字符，而不仅仅是找到第一个匹配后就停止。

这里因为过滤了<>，我们不能用先前的方式了，所以我们使用onclick进行聚焦,只要用户点击输入框就会触发

同样的还有onfocus也是需要用户进行点击

为了不让用户交互也可以完成，我们可以用autofocus和onfocus一起，autofocus把焦点放在输入框上，onfocus把焦点事件进行触发，单独使用autofocus不会触发焦点事件，并且autofocus不包含代码。

所以要用?wey=aaa"%20οnfοcus="alert(1)"%20autofocus="

4.第四题

因为这里面有用action进行提交，并且没有过滤，在提交的时候可以触发我们传入的xss代码，同样在<a>标签里面我们也可以把href写入<a href="javascript:alert('Hello!')">，这样用户点击链接就会触发

?ricardo=Javascript:alert(1337)

5.第五题

因为括号等东西被过滤了，我们就要考虑绕过，尝试用编码绕过

把(1337)先用html实体编码再用url进行编码

成功绕过

?markassbrownlee=<svg%20οnlοad="alert%26%23x0028%3B%26%23x0031%3B%26%23x0033%3B%26%23x0033%3B%26%23x0037%3B%26%23x0029%3B">

6.第六题

这里过滤掉了字母数字，我们就只能借助一些别的工具和别的编码

https://jsfuck.com/

这个网站会把我们的输入编码为[] ! +组合

但是+好会被解析为空格，所以还要进行url编码

7.第七题

这里可以直接用

?mafia=confirm(1337)

但是真正的考点不是这个

我们可以通过

Function(/ALERT(1337)/.source.toLowerCase())()

绕过

/ALERT(1337)/ 是一个正则表达式，用于匹配字符串 "ALERT(1337)"。

.source 属性返回正则表达式的源码部分，不包括前后的斜杠，即 "ALERT(1337)"。

toLowerCase() 方法将字符串中的所有字母转换为小写。

因此，/ALERT(1337)/.source.toLowerCase() 返回 alert(1337)

Function 是一个构造函数，用于动态创建一个新的函数。

Function("alert(1337)") 会创建一个函数

最后，() 用于立即调用刚刚创建的函数。

8.第八题

这里面有DOMPurify框架，很难绕过

但是setTimeout函数内的ok参数没有任何ok定义，所以我们可以使用DOM破坏

由于前端的一些特性，当boomer=<a id=ok href=tel:alert(1337)>时，settimeout(ok,2000)会获取到<a>标签的href内容，并执行，所以我们可以利用这个来进行绕过，但是如果是JavaScript:alert(1)的话，会被DOMPurify框架进行过滤，我们可以在他的文件找到白名单，然后利用白名单执行我们的alert(1337)

1.第一题

2.第二题

3.第三题

4.第四题

5.第五题

6.第六题

7.第七题

8.第八题

相关文章：