---

什么是xss

xss(Cross Site Script)，跨站脚本攻击

网页内嵌入HTML，CSS，JS代码

此漏洞也是网站存在相当多的漏洞，仅次于SQL注入，攻击者可以使用XSS来绕过访问控制，如同源策略。利用XSS可以窃取账号，网页挂马，发动拒绝服务攻击，发送垃圾邮件等等。

xss产生原因：

xss形成的原因与SQL注入类似，也是由于程序员在开发过程中没有对用户提交的恶意数据做过过滤，转义而直接输出到页面，导致用户可以利用此漏洞去任意构造js，html代码插入到网页源代码中并执行。

和SQL注入不同的是xss不一定要和数据库交互。

---

XSS分类

• 非持久性(反射型)–前端->后端->前端
• 持久性(存储型)–前端->后端->数据库->前端
• DOM型–前端

构造xss思路

主要：闭合语句

1.无任何waf 直接插入<script></script>

2.对过滤了<> 可以尝试其他的语句 如 onlick=alert(1)

3.大小写绕过 双写绕过

---

靶场练习

xss-labs (github上有源码，可自行下载

Level1：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level2.php?keyword=test"; 
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

---

观察url栏 name=test

发现这是向服务器提交了一个name参数，值为test，从页面回显来看将name参数的值及字符长度显示在页面上；

接下来查看页面源码：

name的参数值被插入到了

h2>标签之间 so 这很关明显是考察反射性xss 由php代码中知道 对敏感字符没有过滤，所以直接在name参数中赋值一个简单的弹窗来测试一下。

操作如下：

将name参数重新赋值：<script>alert('xss')</script>

出现弹窗 代表通过此关。

我们可以看到用于js弹窗的代码顺利执行了

那么这段代码在网页中如何显示的呢？

可以看到服务器是将我们的恶意代码原封不动的返回了，浏览器才能成功弹窗

可以去看看服务器端的level1.php如何对参数操作的

从php源码可以看出，GET句将从服务器获得的name参数的值赋值给str变量，echo句又将

str变量直接插入到<h2> </h2>标签之间，可以看出服务器并没有对name的值进行严格的管理，且这个值还是用户可以去控制的，所以存在 **反射型xss **漏洞。

漏洞描述：get型注，在url中的name字段中输入，输入的内容会在页面回显。内容是直接显示在前端html标签之间，采用标签注入。

Level2：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level3.php?writing=wait"; 
}
</script>
<title>欢迎来到level2</title>
</head>
<body>
<h1 align=center>欢迎来到level2</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>
<center><img src=level2.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

---

继续从url入手分析 这关依旧是get方式传参，应该还是反射型xss 只不过这一关加入了输入框和搜索button

尝试一下继续用上一关的语句 <script>alert('xss')</script>

?name=

查看一下页面源代码：

可以看到 箭头处的代码被编码了 下边value后的<>都被编码成了html实体字符了。由此可以猜测存在一个 htmlspecialchars() 函数对keyword的值进行了处理。但是value中的代码没有被编码而是直接原样返回。 这里的js代码在标签属性值中，浏览器无法执行。考虑从属性值中的代码处进行突破，要想执行弹窗代码就需要先将属性的引号和标签先闭合。

So keyword赋值为：">//

左边的“>用来闭合” 右边的//注释掉原先的“>

可以看见浏览器成功弹窗了，代表着我们提交的代码被执行了

php代码中 $str 句 以get方式将keyword的参数值 赋给str变量。

echo句 中用htmlspecialchars()函数对变量str进行处理后在网页上显示

value句 直接将变量值插入到了<input>标签的value属性值中

也可构造 payload：123">//

漏洞描述：输入的数据，查看网页源码，内容被嵌套在表单中的value属性内，所以需要先闭合input标签，然后在注入代码，闭合标签。

---

Level3：

php代码如下：<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level4.php?keyword=try harder!"; 
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword  value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

---

先在输入框输入test尝试一下 ：

发现与前几关类似 但是还不知道有没有过滤、编码等魔法

构造一个弹窗试试 ——发现报错

查看源代码：

发现<>都没了 无论是箭头处还是value处 猜测这两处都用了htmlspecialchars()函数进行了处理

查看php代码发现 猜测正确 这里可以考虑通过 标签的一些特殊事件来执行js代码

构造代码：level3.php?keyword='onfocus=javascript:alert('xss') > //&submit=搜索

（此payload来自https://blog.csdn.net/wo41ge/article/details/107459332）

点击搜索后发现并没有弹窗出现，这是因为onfocus事件的特殊性造成的

onfocus 事件在对象获得焦点时发生。

onfocus 通常用于 , , 和.

当使用鼠标点击该输入框时 输入框被选中可以输入内容的时候 就是该输入框获得焦点的时候,此时输入框就会触发onfocus事件.

————————————————————————

也可采用事件闭合标签 playload： ' onclick='alert(1)

（漏洞描述：后端利用htmlspecialchars()函数会将特殊字符进行转义，这里无法采用标签，因为标签都是带有”<"的。但该函数不会转义单引号，可以采用事件闭合标签）

---

Level4：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level5.php?keyword=find a way out!"; 
}
</script>
<title>欢迎来到level4</title>
</head>
<body>
<h1 align=center>欢迎来到level4</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level4.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level4.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

依旧是GET方式提交参数，并且该参数值在页面上有两处显示

可以发现 输入框中的<>没有了

查看一下网页源代码

1处是直接把<>编码转换了，2处是把<>删除了

但是Level3中特殊事件的触发不需要使用<>

so 利用上一关的代码 level4.php?keyword=“οnfοcus=javascript:alert(‘xss’)”

（代码借鉴于https://blog.csdn.net/wo41ge/article/details/107459332）

点击输入框即可触发事件进行弹窗

也可构造 payload：" onclick="alert(1)

漏洞描述：输入的数据，查看网页源码，内容被嵌套在表单中的value属性内。这里只是过滤的左右尖括号，无法采用标签，闭合语句使用事件，双引号闭合

分析源码：

还是用GET方式给keyword传参赋值给str 接下来的2个语句是将变量中的<>删除 下一行是对变量进行编码后使其显示在页面上 <input句 将去除<和>的变量值插入到<input>标签的value属性值中。

---

Level5：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level6.php?keyword=break it out!"; 
}
</script>
<title>欢迎来到level5</title>
</head>
<body>
<h1 align=center>欢迎来到level5</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level5.php method=GET>
<input name=keyword  value="'.$str3.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level5.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str3)."</h3>";
?>
</body>
</html>

依旧是GET方式

再次用 测试一下

发现

第二个显示位scr后边多了一个_

查看页面源代码

1处依旧是用htmlspecialchars()函数将<和>进行了编码处理

2处是在代码<script>中添加了一个_符号

再次用之前的代码进行测试：?keyword="οnfοcus=javascript:alert(‘xss’)>//

发现还是不行

发现on之间多了一个_ 我淦

从刚才的响应来看提交的javascript字符并没有被过滤或者转义等

所以此处既然无法通过<script>标签或触发事件来执行js代码的话，那么可以换一个标签来执行js代码。

继续构造如下代码：?keyword="> <a href=javascript:alert('xss') > xss</a> //

从页面回显可以看到一个xss的链接 点击链接即可触发弹窗的js代码

也可构造payload："><a href="javascript:alert(1)

漏洞描述：试探防御机制，限制了script和on字符---->替换成scr_pt 和o_n ，使用a标签的js伪协议实现href属性支持javascript:伪协议构造poc 产生一个链接

分析一波php

$str = strtolower($_GET[“keyword”]);将get方式传递到服务器端的keyword参数的值进行全小写的转换，然后赋值给str

通过str_replace()函数来破坏变量值中的敏感字符的语义。之后通过htmlspecialchars()函数处理显示到网页上，value句直接将进行敏感字符处理之后的变量值插入到<input>标签的value属性值中。

---

Level6：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level7.php?keyword=move up!"; 
}
</script>
<title>欢迎来到level6</title>
</head>
<body>
<h1 align=center>欢迎来到level6</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level6.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>

依旧尝试

发现上边的<>依旧被编码了 下边的script中间依旧多了个 _

尝试上一关的 ****标签：?keyword="> <a href=javascript:alert(‘xss’) > xss //

发现与上一关原因一样 href中间多了一个_尝试一下大小写绕过

?keyword="> <a HrEf=javascript:alert(‘xss’) > xss //

我们这里改动的是<a>标签中的href属性的大小写，而在html中对大小写是不敏感的。

也可构造payload：">

漏洞描述：限制了一系列的字符 但进行判断的是整个字符串，进行大小写绕过。

————————————————————————————————

分析一波php代码：

$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.

1.依旧是将get方式传递到服务器端的keyword参数的值赋值给str

2.用字符<script去匹配我们提交的参数值，如果匹配到了就进行替换来破坏原来的语义（此处能够防范的是<script> </script>这一类的恶意代码。）

3.用字符on去匹配参数值，如果匹配到了就进行替换破坏原有语义。（这里主要防范的是利用带有on字符的事件来触发恶意代码比如前面用到过的onfocus事件。）后边的几个语句也是这样

4.syc句得提到<img>标签了

熟悉html的人都会知道在<img>标签中引用图片会用到一个属性就是src。正常的引用图片就是将待引用图片的地址赋值给src属性。但是在js中如果src属性的值不正常或者无法访问到时就可以触发一个onerror事件来执行js代码。

标签代码：?name=<img src=111 οnerrοr=alert(‘xss’)>

5.data句 用字符data进行匹配的,同上面一样该字符在之前的演示中也没有出现过.现在一般有点XSS意识的管理员都懂得过滤javascript与script等关键字.但是对于data的认识却并不多，也就很少有对它进行过滤的.Data在我看来就是对字符进行编码的一种设定,比如如果在实际情况中javascript、script等关键字被过滤掉了之后，可以用如下语句进行尝试

data:text/html;base64,PHNjcmlwdD5hbGVydCgieHNzIik8L3NjcmlwdD4=

这条语句和javascript:alert("xss") 或者 <script>alert("xss")</script> 的作用是一样的。

6.可以看到是用<a> </a>标签中的字符href来进行匹配了，防止的就是通过在href属性中插入js代码来点击执行。

---

Level7：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level8.php?keyword=nice try!"; 
}
</script>
<title>欢迎来到level7</title>
</head>
<body>
<h1 align=center>欢迎来到level7</h1>
<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword  value="'.$str6.'">
<input type=submit name=submit value=搜索 />
</form>
</center>';
?>
<center><img src=level7.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str6)."</h3>";
?>
</body>
</html>

先直接上测试一下

查看网页源码

发现script没了???

尝试一下双写绕过 构造payload：">alert(1)

出现弹窗

$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);

GET中还是用strtolower将参数值转为小写 并且替换删除了一些关键字但是只是执行了一次所以可以使用双写绕过

---

Level8：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level9.php?keyword=not bad!"; 
}
</script>
<title>欢迎来到level8</title>
</head>
<body>
<h1 align=center>欢迎来到level8</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?phpecho '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>
<center><img src=level8.jpg></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>

嘿，界面变了

用test试一下？发现页面没有报错

查看一下源码

可以发现提交的参数值一个进入标签的value的属性值中，一个会插入到下方标签的href属性值中。

用尝试一下 查看网页源码

发现<>被编码了并且script中间依旧多了_

尝试事件触发测试：" οnfοcus=javascript:alert(‘xss’)>//

发现用来闭合前边“的”也被编码了 onfocus也被破坏了

尝试大小写绕过依旧失败

尝试一下对我们提交的js代码进行编码

playload：javascript:alert(1)

解码结果是：javascript:alert(1)

漏洞描述：限制了一系列的字符 大小写、双写，都无法绕过，进行Unicode编码(html实体编码)后可以绕过。

源码分析：

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);

依旧对提交的参数值进行了小写转换

对关键词进行替换

str7句将用来闭合的“进行了字符实体替换。

---

Level9：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level10.php?keyword=well done!"; 
}
</script>
<title>欢迎来到level9</title>
</head>
<body>
<h1 align=center>欢迎来到level9</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{echo '<center><BR><a href="您的链接不合法？有没有！">友情链接</a></center>';}
else
{echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>
</body>
</html>

先查看一下网页源代码

发现出现了 “您的链接不合法？有没有！” 而不是提交的参数值。。。

（直接给我干懵了，这是个啥？？？）

看了看源码才知道原来是在level8的基础上，加入地址的检查，检查输入的数据中是否存在http：//字段。尝试一下加上http：//

进行编码（还是Level8的编码

发现还是不行。。。

考虑用//将http：//注释掉

payload：javascript:alert(1)//http://

哦吼，过了！

接下来分析一波源代码

前边部分还是和Level8的一样只是后边多了一句

false===strpos($str7,‘http://’)

这一段的意思是判断提交的字符里边有没有http：//

如果字符中没有http://的话就会返回false，接着在href属性值中就会出现"您的链接不合法？有没有！"如果有的话返回第一次出现的位置，将该字符插入到href属性值中。

---

Level10：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level11.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level10</title>
</head>
<body>
<h1 align=center>欢迎来到level10</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level10.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

欸嘿？好家伙！发现没有输入框了

先查看网页源代码

？？？淦，孩子不会啊这里有三个标签，意味着有三个参数

尝试一下看看哪个参数可以被突破

?keyword=&t_link="type=“text”&t_history="type=“text”&t_sort="type=“text”

查看源码

发现名为t_sort的的标签里的值可以突破

尝试构造

?keyword=&t_sort="type="text"οnclick="alert(‘xss’)

成功触发弹窗

漏洞描述：页面没有提供输输入，需要在url地址栏中输入，该页面存在三个input表单，但其都是隐藏的，需要通过测试找到可以回显的表单。我们发现t_sort变量返回在了html的value中。

其他方法：（参考dalao的博客

(1)采用html的accesskey属性( 通过键盘快捷方式触发)

t_sort=2" accesskey=“x” οnclick=“alert(1)”

不同的浏览器实现的方式不同
火狐 => alt+shift+快捷键
谷歌 => alt+x

(2)采用type属性：

t_sort=2" οnclick=“alert(1)” type=“text”

又到了分析源码环节

$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);

接收t_sort参数值并且删除t_sort参数值中的<和>。从这里来看的话这一关就只能是将js代码插入到<input>标签的属性值中来执行而不能通过闭合<input>标签引入新的标签来触发xss了。

---

Level11：

老规矩php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level12.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level11.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

这关一看就不简单

直接查看网页源代码：

发现有4个标签😥比上一关多了一个

尝试用上一关的方法：

?keyword=good job!&t_link="type="test&t_history="type="test&t_sort="type="test="type="test&t

_ref="type="test

发现名为t_sort的标签中的值发生了变化但是“被编码了，这样就无法起到闭合作用了。

那就考虑进行抓包

发现原始的请求数据包里边没有referer这个请求头，那么我们给它添上去

插入一个referer:111

发现111出现在这里（右边箭头处

所以我们可以构造payload："type=“test” οnclick="alert(‘xss’)

可以看到我们添加的referer的值出现在了右边箭头处

接下来就可以在这里插入恶意代码了😎

点击forward放包回到浏览器点击输入框即可通关

也可以构造payload2：t_sort=2" οnclick=“alert(1)” type=“text”

接下来分析php

$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);

通过http头获取referer字段的值作为t_ref的value，将变量值中的<和>删除之后就会插入到t_ref这个标签的value属性值中。利用burp抓包，http的头部加入referer字段。而上一关的t_sort标签虽然也能接收并显示参数值，但是这个参数值是要用htmlspecialchars()`函数处理的。

---

Level12：

php代码如下：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level13.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level12</title>
</head>
<body>
<h1 align=center>欢迎来到level12</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

查看页面源码

好家伙，看起来像是抓取数据包中User-Agent头的值

那我们就来抓一下验证验证

欸嘿，还真是。

尝试闭合前边的value再在后边插入恶意代码试试

"type=“text” οnclick="alert(‘xss’)

也可直接修改http的头部的user-agent字段

user-agent: t_sort=2" onclick="alert(1)" type="text"

接下来分析php

$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center><form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">

将keyword参数的值赋给了变量str；将t_sot参数的值赋给了变量str00；将请求中User-Agent头的值赋给了变量str11；将变量str11的值中存在的<和>删除之后直接插入到了t_ua标签的value属性值中。在这里变量str和str00的值都是需要被htmlspecialchars()函数 (将<>转为实体) 处理过才能返回给浏览器。

---

Level13：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level14.php"; 
}
</script>
<title>欢迎来到level13</title>
</head>
<body>
<h1 align=center>欢迎来到level13</h1>
<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level13.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

与前几关类似，还是先查看网页源码

猜测应该还是和http请求头有关

抓包看一下

可以发现这个cookie是有值的

可以看到cookie的值出现在了t_cook的值里边 尝试修改cookie

"type="text" onclick="alert('xss')

可以发现成功了，放包试试

成功了

---

Level14：

？？？直接懵了

去看了看dalao博客发现：修改iframe调用的文件来实现xss注入(但因为iframe调用的文件地址失效，无法进行测试，要考的应该是通过修改iframe调用的文件来实现xss注入)emmm，行吧，那就跳了。。

---

Level15：

php代码：

<html ng-app><head><meta charset="utf-8"><script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script>
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level16.php?keyword=test"; 
}
</script>
<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关，自己想个办法走出去吧！</h1>
<p align=center><img src=level15.png></p><?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

照例，先看网页源代码

新奇可以看到我们提交的src值进入了标签的class属性值中，但是里边还有ng-include：这样的字符。

ng-include是angular js中的东西，其作用相当于php的include函数。这里就

是将1.gif这个文件给包含进来。传送门

1、ng-include 指令用于包含外部的 HTML文件。

2、包含的内容将作为指定元素的子节点。

3、ng-include 属性的值可以是一个表达式，返回一个文件名。

4、默认情况下，包含的文件需要包含在同一个域名下。

特别值得注意的几点如下：

1.ng-include,如果单纯指定地址，必须要加引号

2.ng-include,加载外部html，script标签中的内容不执行

3.ng-include,加载外部html中含有style标签样式可以识别

发现src的地址无法访问，先将其换成国内可以访问的地址：

https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js

ng-include 指令可以用于包含外部的 HTML 文件。通过包含本地目录的其他存在xss的文件造成xss攻击，例如 包含leve1的文件

构造payload：?src=‘level1.php?name=’

因为这里参数值算是一个地址，所以需要添加引号。

但是level1.php不是一个php文件吗？

这里解释一下这是因为我们不是单纯的去包含level1.php，而是在后面添加了name参数值的。这就有点像是在访问了该参数值中地址之后把它响应在浏览器端的html文件给包含进来的意思。

不知道为什么payload在我这不好使（可能是没联网的问题？

---

Level16：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level17.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level16</title>
</head>
<body>
<h1 align=center>欢迎来到level16</h1>
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","&nbsp;",$str);
$str3=str_replace(" ","&nbsp;",$str2);
$str4=str_replace("/","&nbsp;",$str3);
$str5=str_replace("	","&nbsp;",$str4);
echo "<center>".$str5."</center>";
?>
<center><img src=level16.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str5)."</h3>";
?>
</body>
</html>

可以看到我们提交的参数值在页面中有一处显示位

看一下网页源代码

没有什么特殊的地方，提交的参数值被插进了

标签里边

用最基本的弹窗测试一下

关键字script以及 / 和空格都被编码成同样的空格字符实体了，这样的话就没办法去闭合前面的标签了

$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace("	"," ",$str4);
echo "<center>".$str5."</center>";

尝试用回车来绕过，/被编码了所以我们得用一个不需要闭合的标签，比如用

<img
src=”111”
onerror=alert(‘xss’)

>

回车用%0a来表示

成功了

本关获取get参数并输出，限制大小写和双写绕过，/ 被替换，无法使用标签闭合，空格也被替换，但空格可以利用其它的url编码绕过，以此构造payload

---

Level17：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！"); 
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后，<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>

挺疑惑的，就这？就这？就这？？点一下直接就过了？

查看一下网页源码

发现网页上少了一个东西。有一个flash没法显示出来

我们提交的两个参数的值出现在了<embed>标签的src属性值中，猜测该标签应该就是突破口，然后用基本的弹窗代码测试

发现<>被编码了

仔细观察一下发现这个<embed>标签就是引入一个swf文件到浏览器端，并且它的src属性值没有添加引号，所以不用闭合

尝试了一下onclick事件发现并不行，因为我的浏览器并没有显示出那个flash

可能是我浏览器的问题？？

换个浏览器就行了。。。

也可用onmouseover事件触发onmouseover：（表示当鼠标移动到该标签上时就会触发执行某项动作）。Payload：arg01=a&arg02= onmouseover=alert(1)

这是一个flash xss注入，<embed> 元素将外部内容嵌入文档中的指定位置。此内容由外部应用程序或其他交互式内容源（如浏览器插件）提供。支持src属性和事件属性。Flash XSS攻击总结

后来发现 火狐不支持SWF，ie允许。。

---

Level18：

php代码：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");window.location.href="level19.php?arg01=a&arg02=b"; 
}
</script>
<title>欢迎来到level18</title>
</head>
<body>
<h1 align=center>欢迎来到level18</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf02.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
</body>
</html>

后边的都是flash有关的，，，就先写到这吧。。。。