XSS Challenges靶场练习（1-12关） – 作者:minaaaca

Stage #1

根据提示可知，该靶场需要通过反弹domain获得flag

因为只有一个搜索框，通过输入数字1发现可以直接显示返回结果

然后用f12选中返回内容，发现此处用到了b标签（用于加粗字体）

法1：可以直接注入语句反弹flag

<script>alert(document.domain);</script>

此时可以通过b标签发现语句已经变灰，说明已被浏览器成功执行

法2：可以通过闭合b标签进行注入

</b><script>alert(document.domain);</script>

此时可以发现b标签已经被闭合，并且没有原来多余的那个</b>，因为浏览器已经自动把最后的b标签去掉，导致提交的内容和页面代码混合，浏览器会认为我们提交的js语句是页面代码中的

Stage #2

同样的，在搜索框中直接输入一个1查看返回结果，但是发现搜索信息提交以后依然在搜索框中，通过f12发现此时输入信息只会被当做一个纯文本文档的值(value)存在，并不会被执行

法1：可以通过闭合value标签进行注入

1″><script>alert(document.domain);</script>

并且可以发现此时value中的值仍然会在输入框中保留

法2：可以通过事件触发

“onmouseover=alert(document.domain);”(鼠标移动到输入框就会自动运行)

“onclick=alert(document.domain);”(鼠标点击输入框后运行)

Stage #3

在输入框中直接输入语句发现未被执行

通过f12发现此时语句仍然加粗显示没有变灰，可知此时语句应该是被转义了

所以需要寻找新的注入点，并且可以发现此时后面还有个b标签，是作为菜单栏选择的部分，所以可以尝试在此处注入，通过bp抓包进行修改参数

修改p2的值为

<script>alert(document.domain);</script>

转发后成功弹出flag

可以发现此时第二个b标签中的语句已经变灰被成功执行

Stage #4

在输入框输入语句发现与第三关相似，输入的语句被转义

通过抓包发现了p1，p2，p3三个标签，并且在p2处注入语句的时候发现也被转义了

所以只能尝试在p3标签进行注入

发现仍然不能弹窗，然后通过f12发现还有一个value标签，需要先闭合掉

转发后成功弹出flag

ps：p3标签（隐藏域，限制作用），在页面看不见，可以通过源码分析和抓包发现

Stage #5

通过f12可以发现限制了输入长度并且为value标签

所以需要修改长度并闭合value

1″><script>alert(document.domain);</script>

Stage #6

输入一个1发现是value标签

闭合value发现<>被替换掉了

所以就不用script标签了，改用事件触发

“onmouseover=alert(document.domain);”

或 “onclick=alert(document.domain);”

Stage #7

输入一个1发现是value标签，与第六关相似，也过滤了<>

使用事件触发发现引号被限制了

可以使用空格进行绕过

1 onclick=alert(document.domain);（空格前需要加入东西）

Stage #8

输入1发现输入内容被当做了url

f12可以看见此处用了a标签(超链接)

我们需要通过点击超链接弹窗，直接将script语句输入其中试试

失败

此处需要用到JavaScript伪协议（当用户点击链接时可以调用JavaScript代码，触发XSS攻击）

javascript:alert(document.domain)

点击URL后成功弹窗

Stage #9

这道题用到了UTF-7编码注入，由于很少见就略过了

Stage #10

输入1发现又是value标签

所以直接闭合标签绕过

发现语句1″><script>alert(document.domain);</script>已被执行，但是却没弹窗

f12查看，发现domain被过滤了

法1：双写绕过将domain改为domadamainain

成功弹窗

法2：base64加密绕过

首先在bp的decoder模块中进行编码

然后还需要解码

atob可将base64加密以后的字符串还原为原文，再通过eval执行

1″><script>eval(atob(‘YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ==’))</script>

Stage #12

11关不知道为啥进不去，直接进行12关

输入1发现value标签

然后输入语句

1″><script>alert(document.domain);</script>

执行以后发现被过滤掉了很多字符

根据提示可知以下符号都被过滤掉了

可以利用IE浏览器特性进行绕过（两个反引号“可以识别为双引号）

在IE浏览器下执行

成功弹窗

来源：freebuf.com 2021-02-10 11:51:26 by: minaaaca