挖掘思路

1.存在可控参数
2.页面存在回显
3.使用带有特殊字符的语句去测试，网站是否进行了实例化 ( 例如 '">123 )
4.构造闭合，实现payload的逃逸

1

name处参数可控，直接打即可

2

这里知道<>被实体编码了
再测试">123，查看闭合情况

构建">和上面的123一样正常回显

3

这里的"<>又被实体编码了,但是‘没有被实体

构建’ οnclick='alert(1)

4

这里的<消失了，被替换为空。构建” οnclick=“alert(1)

5

发现和第四关差不多，发现on被替换为o n，再试试其他的，使用<a href可以注入

6

先打一遍’"><123,查看闭合情况，和第五关差不多，打一遍第五关的payload

发现href变为hr_ef，查看别的师傅的文章，要用大小写"><a hREf='javascript:alert(1)'>

7

用之前的payload试试，发现被替换为空

双写试一下，发现成功 "><a hREhREff='javasscriptcript:alert(1)'>

8

鼠标移动到链接的时候，发现右下角出现可利用点


发现script被替换，使用转换进制的方法绕过，十六进制实体编码：javascript:alert(1)

9

利用上题的payload：javascript:alert(1)，发现得使用http://

这里不知道为啥。看了别的师傅文章知道得将 http:// 放在payload的后方，并使用 // 进行注释，使其不会影响语句的正常执行

10

查看得知有隐藏的参数设置

发现只有第三个t sort才被正常插入，构建一下闭合

查看别的师傅文章，得知得用type="text"构造一个文本框才行，真是学到了

11

这里我不会，看的别的师傅文章，可直接跳过这题
只保留Referer参数，其余多余参数都进行删除测试
payload："type=“text” οnclick=“alert(1)”><

12

这题隐藏参数 t_ua 内的值，是我们的UA头
在ud头处 使用上面题目的方法进行操作

13

按照上题思路，发现在cookie处存在可利用点，继续按照之前的操作一遍